Korrelationsszenarien erstellen: TCP-Portscanner blockieren

Threat Defender verwendet verhaltensbasierte Korrelation, um den Datenverkehr zu analysieren und Ereignisse über mehrere Datenströme hinweg zu korrelieren.

Das folgende Beispiel zeigt, wie Sie mit Threat Defender ein Korrelationsszenario einrichten, das eine Event-Tracking-Tabelle (ETT), ein dynamisches Netzwerkobjekt (DNO) und Regeln enthält.

Weitere Informationen zu den Einstellungsoptionen von Korrelationsszenarien finden Sie unter Advanced Correlation.

Tipp

Threat Defender stellt mehrere voreingestellte Korrelationsszenarien bereit, die Sie aktivieren und an Ihr Netzwerk und Ihre Anforderungen anpassen können. Das Portscan-Szenario finden Sie unter Policy > Advanced Correlation.

Ziel

Mit dieser Beispielkonfiguration erkennt Threat Defender Portscanner und unterbindet deren Verbindungsversuche.

Angreifer verwenden Portscans, um verwundbare Dienste im Netzwerk aufzuspüren. Indem ein solcher Scan unterbrochen wird, kann ein Angriff in der ersten Phase aufgehalten werden. Angriffe via Portscan zeichnen sich durch eine große Anzahl von Verbindungen zu unterschiedlichen TCP-Ports aus, die von derselben Client-IP hergestellt werden. Normalerweise verbinden sich Clients nur mit wenigen unterschiedlichen Server-Ports.

Mit der Korrelation-Engine von cognitix Threat Defender können Sie die Zielports aller Datenströme pro Client nachverfolgen. Wenn Clients innerhalb einer Minute mehr als 100 TCP-Verbindungen zu verschiedenen Ports initiieren, wird dieses Verhalten als Portscan eingestuft. Um den Portscan zu stoppen, wird der Verkehr von diesen Clients verworfen.

Ein Korrelationsszenario erstellen

Legen Sie zuerst ein Korrelationsszenario an, das den Rahmen für die benötigte Even-Tracking-Tabelle, das dynamische Netzwerkobjekt und den Regelsatz bildet.

1. Öffnen Sie in der Benutzeroberfläche Policy > Advanced Correlation.

2. Klicken Sie Add, um ein neues Szenario hinzuzufügen.

3. Geben Sie einen Namen und eine optionale Beschreibung ein.

4. Klicken Sie auf SAVE.

   

   Grundeinstellungen des Korrelationsszenarios.

Eine Event-Tracking-Tabelle erstellen

Erstellen Sie eine Event-Tracking-Tabelle, die die Anzahl kontaktierter Ports pro Quell-IP-Adresse speichert.

1. Öffnen Sie innerhalb des Szenarios den Tab Event Tracking Tables.

2. Klicken Sie auf Add.

3. Geben Sie der Tabelle einen Namen, z.B. Ports per host.

4. Nehmen Sie folgende Einstellungen vor:

   • Setzen Sie Retention Time for Event Tracking auf 300, um alle Verbindungen in einem Zeitraum von 300 Sekunden nachzuverfolgen.

   • Setzen Sie Primary Attribute Type auf IP Address.

   • Setzen Sie Maximum Number of Primary Attributes auf 1000.

   • Setzen Sie Secondary Attribute Type auf Layer 4 port.

   • Setzen Sie Maximum Number of Secondary Attributes per Primary One auf 101.

5. Klicken Sie auf SAVE.

   

   Konfiguration der Event-Tracking-Tabelle.

Diese Event-Tracking-Tabelle verfolgt maximal 1000 IP-Adressen mit jeweils 101 Ports nach. Das heißt die Datenstruktur kann bis zu 101000 Einträge enthalten.

Ein dynamisches Netzwerkobjekt erstellen

Erstellen Sie ein dynamisches Netzwerkobjekt im Korrelationsszenario. Es sammelt die IP-Adressen aller Hosts, die mehr als 100 Port-Einträge in der Event-Tracking-Tabelle haben, d. h. mehr als 100 Ports pro Minute kontaktieren.

1. Öffnen Sie innerhalb des Korrelationsszenarios den Tab Dynamic Network Objects.

2. Klicken Sie auf Add.

3. Geben Sie dem Objekt einen Namen, z.B. Port scanner hosts.

4. Nehmen Sie folgende Einstellungen vor:

   • Klicken Sie unter Network auf External.

   • Setzen Sie Size auf 100.

   • Setzen Sie Timeout auf 300.

   

   Konfiguration des dynamischen Netzwerkobjekts.

5. Klicken Sie SAVE, um das dynamische Netzwerkobjekt zu speichern.

Regeln in einem Korrelationsszenario erstellen

Um den Datenverkehr auszuwerten, werden in diesem Korrelationsszenario die folgenden drei Regeln benötigt:

• Regel 1 trägt die Kombinationen aus Quell-IP und Zielport aller Clients in TCP-Verbindungen in die Event-Tracking-Tabelle ein.

• Regel 2 zählt die Porteinträge in der Event-Tracking-Tabelle für jede Client-IP. Hat eine Client-IP mehr als 100 Porteinträge, also Verbindungen zu Ports, wird er zu dem dynamischen Netzwerkobjekt hinzugefügt.

• Regel 3 verwirft stillschweigend den Datenverkehr, der von IPs im dynamischen Netzwerkobjekt ausgeht.

Um im Korrelationsszenario eine Regel anzulegen, gehen Sie wie folgt vor:

1. Öffnen Sie innerhalb des Korrelationsszenarios den Tab Rules.

2. Klicken Sie Add, um eine neue Regel zum Szenario hinzuzufügen.

3. Weisen Sie einen Namen zu.

4. Optional: Fügen Sie eine Beschreibung hinzu.

5. Nehmen Sie folgende Einstellungen vor:

   • Im Abschnitt Source & Destination setzen Sie Source Networks und Destination Networks auf Any.

   • Im Abschnitt Conditions:

     • Aktivieren Sie Layer 4 Protocol, indem Sie auf den Schalter klicken.

     • Geben Sie Transmission Control (6 TCP) in das Eingabefeld ein.

     

     Datenverkehr wird nach Schicht-4-Protokoll gefiltert.

   • Im Abschnitt Actions:

     • Aktivieren Sie Add to Event Tracking Table, indem Sie auf den Schalter klicken. Diese Aktion ist nur für Regeln verfügbar, die zu Korrelationsszenarien gehören.

     • Unter Event Tracking Table wählen Sie die in diesem Szenario erstellte Event-Tracking-Tabelle aus.

     • Unter Primary Attribute of Event wählen Sie Client Address.

     • Unter Secondary Attribute of Event wählen Sie Server Layer 4 port.

     

     Attribute des Datenverkehrs werden in der ETT nachverfolgt.

6. Mit SAVE speichern Sie die Regel.

Erstellen Sie die beiden übrigen Regeln auf die gleiche Weise.

Die folgende Tabelle zeigt die erforderlichen Einstellungen für alle drei Regeln:

Regel	Source	Destination	Condition	Actions
	Any	Any	Layer 4 Protocol Protokoll: Transmission Control (6 TCP)	Add to Event Tracking Table Event-Tracking-Tabelle: Ports per host Primäres Attribut: Client Address Sekundäres Attribut: Server Layer 4 port
	Any	Any	Korrelationsbedingung: Number of Similar Events in Event Tracking Table Event-Tracking-Tabelle: Ports per host Zähle Einträge mit: Client Address Mindestanzahl Einträge: 40	Dynamic Network Object Operation: Add Host: IP Address Who: Client Ziel-DNO: D: Hosts to block
	D: Hosts to block	Any	Log: Notice Final Action: Drop Traffic and Stop Processing

Klicken Sie auf APPLY CHANGES oben in der Menüleiste, um Ihre Konfigurationsänderungen zu aktivieren.

Ergebnis

Der Datenverkehr von allen Hosts, die 100 oder mehr TCP-Verbindungen zu verschiedenen Ports pro Minute aufbauen, wird für 5 Minuten verworfen. Durch diese Hosts durchgeführte Portscans werden unterbrochen. Läuft das Timeout ab, werden die Hosts automatisch aus dem dynamischen Netzwerkobjekt entfernt und können neue Verbindungen zum Netzwerk aufbauen.

Regelsatz des Korrelationsszenarios.

---

Weitere Informationen:

• Weitere Informationen zu den Einstellungsoptionen von Korrelationsszenarien finden Sie unter Advanced Correlation.

• Weitere Informationen zu den Einstellungsoptionen von Event-Tracking-Tabellen finden Sie unter Event-Tracking-Tabellen.

• Informationen zu den Einstellungsoptionen für dynamische Netzwerkobjekte finden Sie unter Dynamic Network Objects.

• Weitere Informationen zu den Einstellungsoptionen für Regeln finden Sie unter Rules.