Netzwerkbedrohungen untersuchen und darauf reagieren

OT Security verwendet mehrere Erkennungs-Engines, darunter Verhaltensanomalien, signaturbasierte Erkennung (Suricata) und richtlinienbasierte Regeln, um Traffic zu identifizieren, der auf Cyberangriffe hinweist.

Ziel

Erkennen und untersuchen Sie verdächtige Netzwerkaktivitäten, wie z. B. nicht autorisierte Scans, Malware-Verbreitung oder Protokollanomalien, um Betriebsunterbrechungen zu verhindern.

Voraussetzungen

Sie müssen über die erforderlichen Berechtigungen verfügen, um Ereignisse anzuzeigen.

Konfigurieren Sie Folgendes:

• Konfigurieren Sie das Netzwerk-Monitoring. Siehe Monitored Networks.

• Aktivieren Sie Erkennungsrichtlinien. Siehe Richtlinien aktivieren oder deaktivieren.

• (Optional) Aktivieren Sie die PCAP-Erfassung für forensische Analysen. Siehe Einzelne Erfassungsdateien herunterladen.

Schritt 1: Ereigniswarnungen überwachen

1. Loggen Sie sich bei OT Security ein.

2. Klicken Sie im linken Navigationsmenü auf Ereignisse.

3. Wählen Sie Netzwerkbedrohungen oder Netzwerkereignisse aus, um Warnungen im Zusammenhang mit Eindringungsversuchen oder anormalem Traffic anzuzeigen.

   

4. Sortieren Sie Ereignisse nach Schweregrad (Hoch oder Kritisch), um unmittelbare Bedrohungen einzuordnen.

Schritt 2: Konversationsdaten analysieren

1. Wählen Sie ein bestimmtes Ereignis aus, um den Bereich Ereignisdetails anzuzeigen.

2. Identifizieren Sie die Quell- und Ziel-Assets, die an der verdächtigen Aktivität beteiligt sind.

   

3. Navigieren Sie zur Seite Netzwerk > Konversationen, um die spezifischen Traffic-Flüsse zwischen diesen Assets anzuzeigen.

   

4. Sofern verfügbar, verwenden Sie die Ansicht Paketerfassungen (PCAP), um die rohen Traffic-Daten auf forensische Beweise zu analysieren. Siehe Einzelne Erfassungsdateien herunterladen.

Schritt 3: Reaktion einleiten

• Sehen Sie sich Empfohlene Maßnahmen im Abschnitt „Ereignisdetails“ an und ergreifen Sie Maßnahmen (z. B. das kompromittierte Asset isolieren).

• Wenn das Ereignis falsch positiv ist, passen Sie die Richtlinienkonfiguration an, um die Erkennung zu optimieren und Störungen zu reduzieren. Siehe Richtlinien.

• Markieren Sie das Ereignis unter Feststellungen > Richtlinienverstöße als Aufgelöst, um es aus der aktiven Warteschlange zu löschen. Siehe Richtlinienverstöße.

Ergebnis

Sie können schnell das „Wer, Was, Wo und Wann“ eines Sicherheitsvorfalls identifizieren und so die mittlere Reaktionszeit (MTTR) minimieren.