Korrelation in Threat Defender

Angriffe sind oft schwer zu erkennen, weil sich Angreifer in scheinbar harmloser Kommunikation verstecken, um nicht von Sicherheitssystemen wie Next-Generation-Firewalls erkannt zu werden. Solche Bedrohungen können nur durch Analyse des Netzwerkverhaltens auf subtile Kommunikationsänderungen aufgespürt werden. Wenn Beziehungen zwischen scheinbar unzusammenhängenden Ereignissen erkannt werden, können sie genauer auf Bedrohungen oder anormales Verhalten untersucht werden, die auf Angriffe auf das Netzwerk hindeuten.

Der Ansatz von Threat Defender

Threat Defender verwendet verhaltensbasierte Korrelation, um den Datenverkehr zu analysieren und Ereignisse über mehrere Datenströme hinweg zu korrelieren. Die Single-Pass-Korrelations- und Policy-Engine korreliert aktuelle Datenströme mit historischen Informationen aus früheren Datenströmen. Das bedeutet, die Korrelation findet innerhalb der Policy-Engine statt. Daten werden in Echtzeit korreliert, d.h. in dem Moment, in dem sie erzeugt werden. Reaktionen auf identifizierte Bedrohungen erfolgen unverzüglich und werden auf den auslösenden Datenstrom angewendet.

Threat Defender erweitert die Policy-Sprache, um Attribute von Kommunikationsereignissen nachzuverfolgen. Basierend auf dem erkannten Verhalten können detaillierte, mehrstufige Policy-Regeln erstellt und dynamisch ausgeführt werden.

Um aussagekräftige verhaltensbasierte Korrelation erreichen zu können, ergänzt die Korrelations- und Policy-Engine jeden Datenstrom um relevante aus den Daten extrahierte Informationen, wie grundlegende Attribute auf Schicht 2-4, sowie Protokolle und Anwendungen auf Schicht 7, IPS- und IoC/IoA-Ereignissen.

Die verhaltensbasierte Korrelation des Threat Defender wird mittels einer speicherinternen Datenbank implementiert. Diese Datenbank enthält Event-Tracking-Tabellen, die Kombinationen von Attributen speichern und die Eigenschaften von Kommunikationsereignissen über mehrere Datenströme und die Zeit nachverfolgen. Die erweiterte Policy Engine fragt diese Tabellen ab und fügt Einträge ein. Die Einträge in Event-Tracking-Tabellen haben individuelle Aufbewahrungszeiten, die vom Administrator festgelegt werden. Sie werden automatisch entfernt, wenn dieser Timeout abläuft. Dadurch können Event-Tracking-Tabellen Verhaltensänderungen bei Assets/Benutzern über die Zeit nachverfolgen.

Für die verhaltensbasierte Korrelation mittels Event-Tracking-Tabellen werden mindestens zwei Regeln benötigt:

  1. Eine Regel trägt ein Attributpaar (wie IP-/MAC-Adresse, URLs, IDS-Treffer usw.) in die Tabelle ein.

  2. Eine weitere Regel wertet die Tabelle aus:

    • Eine Zählbedingung zählt die Anzahl der Einträge mit demselben Attribut.

    • Eine Distinct-Count-Bedingung zählt Einträge mit einem bestimmten Zeitstempel.

    • Regeln können auch abfragen, ob ein bestimmtes Attributpaar in der Tabelle enthalten ist. Basierend auf dem Ergebnis können Aktionen durchgeführt werden oder nicht.

Mit der verhaltensbasierten Korrelation stellt Threat Defender Werkzeuge bereit, mit denen komplexe Szenarien und mehrstufige Policy-Regeln erstellt werden können, die ähnliche oder zusammenhängende Ereignisse in allen Datenströmen im Netzwerk aufspüren, in Echtzeit sowie über die Zeit hinweg (begrenzt auf die Aufbewahrungszeit der Event-Tracking-Tabelle). Alle Szenarien werden für jeden Datenstrom ausgewertet und kein Datenverkehr kann Threat Defender passieren ohne durch die Korrelation-Engine bearbeitet zu werden.

Beispielablauf

Im Folgenden wird ein vereinfachter Beispielablauf der verhaltensbasierten Korrelation gezeigt:

  • Threat Defender verfolgt den Datenverkehr im Netzwerk mit Event-Tracking-Tabellen. Sie können genau festlegen, welcher Datenverkehr nachverfolgt wird, indem Sie die Quelle und das Ziel, die verwendeten Protokolle und Anwendungen usw. angeben.

  • Threat Defender evaluiert die Einträge in der Event-Tracking-Tabelle durch Vergleich des Datenverkehrs mit den in der Tabelle gespeicherten Ereignissen (ein Ereignis ist eine Kombination aus einem primären Attribut und seinen sekundären Attributen) oder durch Zählen der Einträge bzw. Attribute.

  • Wenn Threat Defender das im Korrelationsszenario spezifizierte Verhalten erkennt, werden die festgelegten Aktionen durchgeführt. Beispielsweise werden die entsprechenden Hosts einem dynamischen Netzwerkobjekt hinzugefügt.

  • Auf die Hosts im dynamischen Netzwerkobjekt können weitere Regeln angewendet werden. Zum Beispiel kann ihr Datenverkehr blockiert, ihre Bandbreite begrenzt werden oder sie können vom übrigen Netzwerk isoliert werden usw.

Weitere Informationen: