Welche Tools und Technologien werden in SOCs verwendet?

Tool zur Erfassung und Verwaltung von Protokollen

Um eine Sicherheitsanalyse durchführen zu können, müssen Sie zunächst die relevanten Informationen beschaffen. Protokolle sind die beste Informationsquelle für verschiedene Aktivitäten in Ihrem Netzwerk. Allerdings werden täglich Millionen von Protokollen von mehreren Geräten im gesamten Netzwerk generiert. Diese manuell zu sichten, ist ineffizient oder schlichtweg unmöglich. Ein Protokollverwaltungstool kann den gesamten Prozess der Protokollerfassung, -analyse und -auswertung automatisieren. Es ist in der Regel in einer SIEM-Lösung enthalten.

Security Information and Event Management (SIEM)

Eine der grundlegendsten Technologien, die den Kern eines SOC bildet, ist ein SIEM-Tool. Die im gesamten Netzwerk des Unternehmens gesammelten Protokolle bieten eine Fülle von Informationen, die auf ungewöhnliches Verhalten analysiert werden müssen. Eine SIEM-Plattform sammelt Protokolldaten aus heterogenen Quellen, untersucht sie auf mögliche Angriffsmuster und löst bei Erkennung einer Bedrohung schnell einen Alarm aus.

Sicherheitsrelevante Informationen werden dem SOC-Team in Form von grafischen Berichten auf einem interaktiven Dashboard präsentiert. Anhand dieser Berichte kann das SOC-Team Bedrohungen und Angriffsmuster schnell untersuchen und aus Protokolltrends verschiedene Erkenntnisse gewinnen – und das alles von einer einzigen Konsole aus. Wenn ein Sicherheitsvorfall auftritt, kann das SOC-Team das SIEM-Tool auch verwenden, um die Ursache des Verstoßes durch eine forensische Protokollanalyse zu ermitteln. Sie können die Protokolldaten detailliert untersuchen, um jeden Sicherheitsvorfall weiter zu untersuchen.

Eine SIEM-Lösung bietet einen ganzheitlichen Überblick über Ihr Unternehmensnetzwerk.

Schwachstellenmanagement

Cyberkriminelle zielen hauptsächlich auf Schwachstellen ab, die möglicherweise bereits in Ihrem Netzwerk vorhanden sind, und nutzen diese aus, um Ihre Systeme zu infiltrieren. Daher muss das SOC-Team das Netzwerk des Unternehmens regelmäßig auf Schwachstellen scannen und überwachen. Sobald eine Schwachstelle entdeckt wird, muss diese schnell behoben werden, bevor sie ausgenutzt werden kann.

Endpunkt-Erkennung und -Reaktion (EDR)

Der Begriff „Endpoint Detection and Response (EDR)“ bezieht sich in der Regel auf Tools, die in erster Linie auf die Untersuchung von Bedrohungen abzielen, die auf Endpunkte oder Hosts gerichtet sind. Sie unterstützen das SOC-Team, indem sie als erste Verteidigungslinie gegen Bedrohungen fungieren, die darauf ausgelegt sind, sich der Perimeterverteidigung leicht zu entziehen.

Verhaltensanalyse von Benutzern und Entitäten (UEBA)

Ein weiteres unschätzbares Werkzeug für ein SOC-Team ist eine UEBA-Lösung. UEBA-Tools verwenden maschinelle Lerntechniken, um die von verschiedenen Netzwerkgeräten gesammelten Daten zu verarbeiten und eine Basislinie des normalen Verhaltens für jeden Benutzer und jede Entität im Netzwerk zu entwickeln. Mit mehr Daten und Erfahrung werden UEBA-Lösungen immer effektiver.

UEBA-Tools analysieren täglich Protokolle, die von verschiedenen Netzwerkgeräten stammen. Wenn ein Ereignis von der Basislinie abweicht, wird es als Anomalie gekennzeichnet und weiter auf potenzielle Bedrohungen analysiert. Wenn sich beispielsweise ein Benutzer, der sich normalerweise zwischen 9 und 18 Uhr anmeldet, plötzlich um 3 Uhr morgens anmeldet, wird dieses Ereignis als Anomalie markiert.

Dem Benutzer oder der Entität wird eine Risikobewertung von 0 bis 100 zugewiesen, die auf verschiedenen Faktoren wie der Intensität der Aktion und der Häufigkeit der Abweichung basiert. Bei einer hohen Risikobewertung kann das SOC-Team die Anomalie untersuchen und schnell Abhilfemaßnahmen ergreifen.

Cyber Threat Hunting

Wie können SOC-Teams angesichts immer ausgefeilterer Cyber-Angriffe einen Schritt voraus sein? Cyberkriminelle können sich im Unternehmensnetzwerk aufhalten und wochenlang unentdeckt Daten sammeln und ihre Privilegien ausweiten. Herkömmliche Erkennungsmethoden sind reaktiv, Threat Hunting hingegen ist eine proaktive Strategie. Sie ist nützlich, um Bedrohungen zu erkennen, die von herkömmlichen Sicherheitstools oft übersehen werden.

Es beginnt mit einer Hypothese, auf die eine Untersuchung folgt. Threat Hunters durchsuchen das Netzwerk proaktiv nach versteckten Bedrohungen, um potenzielle Angriffe zu verhindern. Wenn eine Bedrohung erkannt wird, sammeln sie Informationen über die Bedrohung und leiten sie an die betroffenen Teams weiter, damit sofort geeignete Maßnahmen ergriffen werden können.

Threat Intelligence

Um den neuesten Cyberangriffen immer einen Schritt voraus zu sein, muss das SOC-Team über alle möglichen Bedrohungen für die Organisation informiert sein. Threat Intelligence ist evidenzbasiertes Wissen über Bedrohungen, die aufgetreten sind oder auftreten werden und von verschiedenen Organisationen geteilt werden. Mit Threat Intelligence kann das SOC-Team wertvolle Einblicke in verschiedene böswillige Bedrohungen und Bedrohungsakteure, ihre Ziele, Anzeichen, auf die man achten sollte, und wie man die Bedrohungen mindert, gewinnen.

Threat-Intelligence-Feeds können genutzt werden, um Informationen über häufige Kompromittierungsindikatoren wie nicht autorisierte IP-Adressen, URLs, Domainnamen und E-Mail-Adressen zu erhalten. Da täglich neue Arten von Angriffen auftauchen, werden die Threat-Feeds ständig aktualisiert. Durch die Korrelation dieser Threat-Feeds mit Protokolldaten kann das SOC-Team sofort benachrichtigt werden, wenn ein Bedrohungsakteur mit dem Netzwerk interagiert.