Event-Tracking-Tabellen

Event-Tracking-Tabellen (ETT) sind Datenpuffer, die Attributkombinationen speichern. Sie zeichnen Merkmale des Datenverkehrs auf und ermöglichen dadurch Korrelation in Threat Defender. Die Anwendung von Regeln hängt davon ab, ob und wie oft bestimmte Merkmale auftreten.

ETT verfolgen Attributpaare von Kommunikationsereignissen über mehrere Datenströme hinweg. Ein Kommunikationsereignis besteht aus einem primären Attribut und mehreren sekundären Attributen. Regeln tragen diese Ereignisse in die Event-Tracking-Tabellen ein. Jeder Eintrag in einer ETT hat einen individuellen Timeout. So können Änderungen über die Zeit nachverfolgt werden und die Einträge werden automatisch entfernt, wenn der Timeout abgelaufen ist. Regeln können die Tabellen abfragen und prüfen, ob bestimmte Attribute enthalten sind, oder die Attribute zählen. Abhängig davon, ob die Auswertungsbedingung erfüllt wird, können weitere Regeln auf den Datenstrom angewendet werden.

Zum Beispiel kann geprüft werden, wie oft ein bestimmter Host einer ETT für TCP-Verbindungsports hinzugefügt wurde. Wenn er innerhalb einer Minute 100-mal zur ETT hinzugefügt wurde, wird Datenverkehr zu diesem Host verworfen. Andernfalls wird er nicht eingeschränkt. Siehe Blockieren von TCP-Portscannern (T1046) für weitere Informationen. Dadurch beeinflussen in früheren Datenströmen erkannte Attribute wie spätere Datenströme gehandhabt werden.

Event-Tracking-Tabellen können jegliche Kombinationen von Attributpaaren nachverfolgen und korrelieren. Die folgenden Attributtypen sind verfügbar:

  • Assets

  • Klassifikation von Anwendungen bzw. Protokollen

  • HTTP-Domänennamen

  • HTTP URLs

  • Interfaces

  • IDS-Treffer

  • IP-Adressen

  • Schicht-4-Ports

  • MAC-Adressen

  • None (um nur einzelne Attribute statt Attributpaaren nachzuverfolgen)

  • Zeitstempel

  • Users

  • VLAN-Tags

Die folgende Tabelle zeigt einige Beispielkombinationen:

Primäres Attribut

Sekundäres Attribut

Verwendung

IP Address

Layer 4 port

Speichert eine Liste von Ports pro IP-Adresse.

MAC Address

Timestamp

Zählt wie oft eine MAC-Adresse einer ETT hinzugefügt wurde.

User

HTTP URL

Zeigt welche URLs Benutzer besucht haben, indem eine Liste aufgerufener URLs pro Benutzer gespeichert wird.

Asset

IDS Hit

Speichert eine Liste von IDS-Treffern pro Asset. Mit dieser Event-Tracking-Tabelle können Sie Regeln einrichten, um Geräte zu isolieren, die eine festgelegte Anzahl von IDS-Treffern überschreiten.

User

None

Diese ETT verfolgt Benutzer. Mit ihr können Sie Policy-Regeln erstellen, die auf dem Verhalten der Benutzer basieren.

None

Assets

Mit dieser ETT können Sie die Anzahl der Assets in ihrem System zählen und Regeln aufstellen, die ausgelöst werden, wenn ein bestimmter Wert überschritten wird.


Weitere Informationen: