SIEM

SIEM: Use Case – Erkennung von möglichen Brute Force Attacken

SIEM – Security Information und Event Management

Ein SIEM ist eine zentrale stelle für LOG-Daten, dass heißt das SIEM System holt sich in einen bestimmten Interval die Log-Daten ab oder die Log-Daten werden zum SIEM-System geschickt. Das SIEM-System kann hieraus gefahren aufzeigen, Attacken ableiten und Schwachstellen aufzeigen.

Use Case – Erkennung von möglichen Brute Force Attacken

Mit der evolution der immer schnelleren möglichkeiten ein Passwort zu knacken, ist es für ein Unternehmen nötig, so eine Attacke schnellst möglich zu erkennen. Ein wichtiger Punkt, um solche Attacken erkennen zu können ist ein Domain Controller und sein Eventlog und natürlich die Option das fehlerhafte Anmeldeversuche mitgeloggt werden. Unter „Start“ -> „Verwalten“ -> „Lokale Sicherheitsrichtline“ Ist die Option dafür, hier muss einmal die Richtline für Anmeldeversuche überwachen und Objektzugriffsversuche über wachen auf „Erfolgreich und Fehler“ gestellt werden.

Lokale SicherheitsrichtlineSobald diese Einstellungen gemacht und gespeichert sind, werden im Eventlog alle Anmeldeversuche, egal ob Erfolgreich oder nicht, mitgeloggt.

Im Beispiel für das SIEM von McAfee erkennt nun das System anhand der Eventlogs mittels Correlation Rule ob ein User / Script versucht sich häufig über einen User mit verschiedenen Passwörtern zugang zu verschaffen.

ADD YOUR COMMENT

ss