Blockieren von TCP-Portscannern (T1046)

Dieses vordefinierte Korrelationsszenario erkennt Scans der Netzwerkdienste (T1046).

Threat Defender verwendet verhaltensbasierte Korrelation, um den Datenverkehr zu analysieren und Ereignisse über mehrere Datenströme hinweg zu korrelieren.

Das folgende Beispiel zeigt, wie Sie mit Threat Defender ein Korrelationsszenario einrichten, das eine Event-Tracking-Tabelle (ETT), ein dynamisches Netzwerkobjekt (DNO) und Regeln enthält.

Weitere Informationen zu den Einstellungsoptionen von Korrelationsszenarien finden Sie unter Advanced Correlation.

Tipp

Threat Defender stellt mehrere voreingestellte Korrelationsszenarien bereit, die Sie aktivieren und an Ihr Netzwerk und Ihre Anforderungen anpassen können. Das Portscan-Szenario finden Sie unter Policy > Advanced Correlation.

Ziel

Mit dieser Beispielkonfiguration erkennt Threat Defender Portscanner und unterbindet deren Verbindungsversuche.

Angreifer verwenden Portscans, um verwundbare Dienste im Netzwerk aufzuspüren. Indem ein solcher Scan unterbrochen wird, kann ein Angriff in der ersten Phase aufgehalten werden. Angriffe via Portscan zeichnen sich durch eine große Anzahl von Verbindungen zu unterschiedlichen TCP-Ports aus, die von derselben Client-IP hergestellt werden. Normalerweise verbinden sich Clients nur mit wenigen unterschiedlichen Serverports.

Mit der Korrelation-Engine von cognitix Threat Defender können Sie die Zielports aller Datenströme pro Client nachverfolgen. Wenn Clients innerhalb einer Minute mehr als 100 TCP-Verbindungen zu verschiedenen Ports initiieren, wird dieses Verhalten als Portscan eingestuft. Um den Portscan zu stoppen, wird der Verkehr von diesen Clients verworfen.

Anlegen eines Korrelationsszenarios

Legen Sie zuerst ein Korrelationsszenario an, das den Rahmen für die benötigte Even-Tracking-Tabelle, das dynamische Netzwerkobjekt und den Regelsatz bildet.

  1. Öffnen Sie in der Benutzeroberfläche Policy > Advanced Correlation.

  2. Klicken Sie Add, um ein neues Szenario hinzuzufügen.

  3. Geben Sie einen Namen und eine optionale Beschreibung ein.

  4. Klicken Sie auf SAVE.

    Scenario settings

    Grundeinstellungen des Korrelationsszenarios.

Eine Event-Tracking-Tabelle erstellen

Erstellen Sie eine Event-Tracking-Tabelle, die die Anzahl kontaktierter Ports pro Quell-IP-Adresse speichert.

  1. Öffnen Sie innerhalb des Szenarios den Reiter Event Tracking Tables.

  2. Klicken Sie auf Add.

  3. Geben Sie der Tabelle einen Namen, z.B. Ports per host.

  4. Nehmen Sie folgende Einstellungen vor:

    • Setzen Sie Retention Time for Event Tracking auf 300, um alle Verbindungen in einem Zeitraum von 300 Sekunden nachzuverfolgen.

    • Setzen Sie Primary Attribute Type auf IP Address.

    • Setzen Sie Maximum Number of Primary Attributes auf 1000.

    • Setzen Sie Secondary Attribute Type auf Layer 4 port.

    • Setzen Sie Maximum Number of Secondary Attributes per Primary One auf 101.

  5. Klicken Sie auf SAVE.

    ETT configuration

    Konfiguration der Event-Tracking-Tabelle.

Diese Event-Tracking-Tabelle verfolgt maximal 1000 IP-Adressen mit jeweils 101 Ports nach. Das heißt die Datenstruktur kann bis zu 101000 Einträge enthalten.

Anlegen eines dynamischen Netzwerkobjekts

Erstellen Sie ein dynamisches Netzwerkobjekt im Korrelationsszenario. Es sammelt die IP-Adressen aller Hosts, die mehr als 100 Porteinträge in der Event-Tracking-Tabelle haben, d. h. mehr als 100 Ports pro Minute kontaktieren.

  1. Öffnen Sie innerhalb des Korrelationsszenarios den Reiter Dynamic Network Objects.

  2. Klicken Sie auf Add.

  3. Geben Sie dem Objekt einen Namen, z.B. Port scanner hosts.

  4. Nehmen Sie folgende Einstellungen vor:

    • Klicken Sie unter Network auf External.

    • Setzen Sie Size auf 100.

    • Setzen Sie Timeout auf 300.

    DNO settings

    Konfiguration des dynamischen Netzwerkobjekts.

  5. Klicken Sie SAVE, um das dynamische Netzwerkobjekt zu speichern.

Anlegen von Regeln in einem Korrelationsszenario

Um den Datenverkehr auszuwerten, werden in diesem Korrelationsszenario die folgenden drei Regeln benötigt:

  • Regel 1 verwirft den Datenverkehr, der von IPs im dynamischen Netzwerkobjekt ausgeht.

  • Regel 2 trägt die Kombinationen aus Quell-IP und Zielport aller Clients in die Event-Tracking-Tabelle ein.

  • Regel 3 zählt die Porteinträge in der Event-Tracking-Tabelle für jede Client-IP. Hat eine Client-IP mehr als 100 Porteinträge, also Verbindungen zu Ports, wird er zu dem dynamischen Netzwerkobjekt hinzugefügt.

Um im Korrelationsszenario eine Regel anzulegen, gehen Sie wie folgt vor:

  1. Öffnen Sie innerhalb des Korrelationsszenarios den Reiter Rules.

  2. Klicken Sie Add, um eine neue Regel zum Szenario hinzuzufügen.

  3. Weisen Sie einen Namen zu.

  4. Optional: Fügen Sie eine Beschreibung hinzu.

  5. Nehmen Sie folgende Einstellungen vor:

    • Im Abschnitt Source & Destination setzen Sie Source Networks D: Port Scanner Hosts.

    • Setzen Sie Destination Networks auf Any.

    • Im Abschnitt Actions wählen Sie unter Final Action Reject Traffic and Stop Processing aus.

  6. Mit SAVE speichern Sie die Regel.

Erstellen Sie die beiden übrigen Regeln auf die gleiche Weise.

Die folgende Tabelle zeigt die erforderlichen Einstellungen für alle drei Regeln:

Regel

Source

Destination

Condition

Actions

D: Port Scanner Hosts

Any

Final Action: Reject Traffic and Stop Processing

Any

Any

Add to Event Tracking Table
Event-Tracking-Tabelle: Ports per host
Primäres Attribut: Client Address
Sekundäres Attribut: Server Layer 4 port

Any

Any

Korrelationsbedingung:
Number of Similar Events in Event Tracking Table
Event-Tracking-Tabelle: Ports per host
Zähle Einträge mit: Client Address
Mindestanzahl Einträge: 40

Dynamic Network Object Operation: Add
Host: IP Address
Who: Client
Ziel-DNO: D: Port Scanner Hosts

Klicken Sie auf APPLY CHANGES oben in der Hauptnavigation, um Ihre Konfigurationsänderungen zu aktivieren.

Ergebnis

Der Datenverkehr von allen Hosts, die 100 oder mehr TCP-Verbindungen zu verschiedenen Ports pro Minute aufbauen, wird für 5 Minuten verworfen. Durch diese Hosts durchgeführte Portscans werden unterbrochen. Läuft der Timeout ab, werden die Hosts automatisch aus dem dynamischen Netzwerkobjekt entfernt und können neue Verbindungen zum Netzwerk aufbauen.

Complete rule set

Regelsatz des Korrelationsszenarios.

Weitere Informationen:

  • Weitere Informationen zu den Einstellungsoptionen von Korrelationsszenarien finden Sie unter Advanced Correlation.

  • Weitere Informationen zu den Einstellungsoptionen von Event-Tracking-Tabellen finden Sie unter Event Tracking Tables.

  • Informationen zu den Einstellungsoptionen für dynamische Netzwerkobjekte finden Sie unter Dynamic Network Objects.

  • Weitere Informationen zu den Einstellungsoptionen für Regeln finden Sie unter Rules.