Statische und dynamische Ereigniskorrelation

Was ist Ereigniskorrelation?

In einem Netzwerk einer Organisation jeder Größe können zahlreiche verdächtige Aktivitäten auftreten. Die Überwachung dieser Aktivitäten kann dazu beitragen, Ihr Netzwerk vor potenziellen Bedrohungen zu schützen. Wenn beispielsweise ein Benutzerkonto 100 fehlgeschlagene Anmeldeversuche vor einer erfolgreichen Anmeldung aufweist, kennzeichnen Sicherheitsadministratoren dies als verdächtige Aktivität.

Manchmal ist es schwierig, den genauen Schwellenwert für die Erkennung einer verdächtigen Aktivität zu definieren. Wenn der Hacker im oben genannten Fall das Passwort beim 90. Versuch knackt, bleibt dies unentdeckt, wenn Sie eine Regel eingerichtet haben, die Sie nach 100 fehlgeschlagenen Anmeldeversuchen gefolgt von einer erfolgreichen Anmeldung benachrichtigt. Um dieses Problem zu lösen, benötigen Sie eine effizientere und zuverlässigere Methode zur Erkennung möglicher Bedrohungen.

Die Ereigniskorrelation analysiert zahlreiche Ereignisse, fügt den analysierten Ereignissen einen geschäftlichen Kontext hinzu und stellt sequenziell Verbindungen zwischen ihnen her, bevor sie logische Lösungen liefert. Die Korrelation vergleicht Aktivitätssequenzen auf der Grundlage einer Reihe von Regeln. Diese Regeln ermöglichen es Ihrer Sicherheitsinformations- und Ereignismanagement-Lösung (SIEM) zu entscheiden, welche verdächtigen Aktivitäten als potenzielle Sicherheitsbedrohung behandelt werden sollten.

Sie können beispielsweise eine Korrelationsregel definieren, um nach Ereignissen X und Y zu suchen, die in einer bestimmten Reihenfolge auftreten, wobei X die Anzahl der fehlgeschlagenen Anmeldeversuche eines Benutzerkontos von einer bestimmten IP-Adresse und Y die erfolgreiche Anmeldung von derselben IP-Adresse bei einem beliebigen Computer im Netzwerk ist. Mit dieser Regel erhalten Sie jedes Mal eine Warnmeldung, wenn eine Sequenz dieser Ereignisse im Netzwerk auftritt. Die vordefinierten Faktoren in diesen Ereignissen helfen Ihnen, potenzielle Bedrohungen von normalen Vorkommnissen zu unterscheiden.

Sie können entweder Regeln basierend auf den Anforderungen Ihres Unternehmens erstellen oder die von Ihrer SIEM-Lösung festgelegten Regeln verwenden. Der Schlüssel zur genauen Erkennung von Vorfällen liegt in der Konfiguration der Korrelations-Engine Ihrer Sicherheitslösung entsprechend der Art Ihres Unternehmens.

Sichern Sie Ihre Vergangenheit und Ihre Gegenwart

Es gibt zwei Arten von Korrelationen: statische und dynamische.

Statische Korrelation

Unternehmen können sich nicht immer auf eine präventive Sicherheitsstrategie verlassen. Sicherheitsverletzungen sind unvermeidlich, und wenn sie auftreten, ist es wichtig, zu analysieren, wie und warum sie in Zukunft verhindert und ihre Auswirkungen reduziert werden können.

Statische Korrelation ist der Prozess der Untersuchung historischer Protokolle, um die Sicherheitsverletzung nach einem Vorfall zu analysieren. Durch statische Korrelation können Sie Protokolldaten analysieren und komplexe Muster aus vergangenen Ereignissen identifizieren. Dies kann Ihnen helfen, Bedrohungen zu entdecken, die die Sicherheit Ihres Netzwerks gefährdet haben könnten, oder Ihnen Informationen über einen laufenden Angriff liefern.

Dynamische Korrelation

Die dynamische Korrelation erkennt Sicherheitsvorfälle in Echtzeit. Da Ereignisse bei ihrem Auftreten Korrelationsregeln unterliegen, ist eine SIEM-Lösung in der Lage, eingehende Protokolldaten zu analysieren und sofort nach Angriffsmustern zu suchen. Durch die dynamische Korrelation profitieren Unternehmen von einer schnelleren Erkennung und Reaktionsrate. Dies trägt dazu bei, dass Ihr Netzwerk jederzeit geschützt bleibt.

Durch statische und dynamische Korrelation können Sie sicherstellen, dass das Netzwerk Ihres Unternehmens rechtzeitig gegen Sicherheitsangriffe geschützt ist.