Vorfallanalyse mit The Hive und Cortex

Spurensuche

Die Aufarbeitung von Sicherheitsvorfällen stellt IT-Verantwortliche und Analysten vor zahlreiche Aufgaben. Um die Arbeit des Incident Response Teams zu optimieren, lässt sich zusätzlich zur Plattform The Hive das Automatisierungstool Cortex einsetzen. Beide Werkzeuge sind übersichtlich konfigurierbar und erlauben trotzdem komplexe Setups für den täglichen Einsatz.
Mitarbeiter wie auch die Unternehmensleitung setzen die Verfügbarkeit von IT-Diensten längst als selbstverständlich voraus. Ungeplante Ausfälle sind deshalb ... (mehr)

IT-Abteilungen großer Unternehmen betreiben zum Schutz der eigenen Infrastruktur und zur Aufklärung von Sicherheitsvorfällen eigene Security Operation Center (SOC). Ja nachdem, wie die IT-Abteilung in Ihrem Unternehmen strukturiert ist, können Sie auf ein Team von Analysten zurückgreifen, um dauerhaft die Infrastruktur im Auge zu behalten und bereits frühzeitig Angriffe zu erkennen und den Erfolg der Angreifer einzudämmen. Dabei kommen bei der Threat-Intelligence-Analyse unterschiedliche Werkzeuge zum Einsatz, um die Analysten bei der Sammlung von Informationen und dem Austausch von Erkenntnissen zu unterstützen.

Die Anzahl an IT-Sicherheitsvorfällen in Unternehmen steigt stetig und die Sicherheit der eigenen Infrastruktur ist für viele Unternehmen eine kontinuierliche Herausforderung. Dabei spielt es keine Rolle, ob das SOC des Unternehmens ein eigenes Team für die Vorfalls-analyse – sogenannte Computer Emergency Response Teams (CERT) oder Computer Security Incidence Respone Teams (CSIRT) – unterhält oder das Monitoring und die Incident Response als einen Aufgabenbereich zunächst selbst übernimmt.

Dabei fällt, zusätzlich zu den bereits umfänglichen Aufgaben, noch weitere Verantwortung in den Bereich von SOCs. Relevant für die Gefahrenabwehr sind etwa das Incident Management, das Erstellen und Beobachten von Lageberichten sowie die Informationsabsicherung mit klassischem Risikomanagement und Business Continuity. Das bedeutet auch, dass Sie als Analyst hier auf etablierte Reporting-Werkzeuge und -Techniken zur kontinuierlichen Analyse von Daten angewiesen sind, um im Schadensfall zuverlässig Ursachenforschung zu betreiben und auf die Bedrohung zu reagieren.

Es gibt unterschiedliche Werkzeuge, die Sie bei der Aufarbeitung von Sicherheitsvorfällen unterstützen. Neben GRR Rapid Response oder MISP finden Sie in der Liste von freien Incident Response Plattformen unter anderem "The Hive". The Hive wird von Analysten

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021