Indicators of Attack-Vorfälle

Die Liste der Indicators of Attack (IoA)-Vorfälle enthält detaillierte Informationen zu bestimmten Angriffen auf Ihr Active Directory (AD). Anhand dieser Informationen können Sie je nach Schweregradstufe des IoA die erforderlichen Maßnahmen ergreifen.

  1. Klicken Sie in Tenable Identity Exposure im Navigationsbereich auf Indicators of Attack.

    Der Fensterbereich Indicators of Attack wird geöffnet.

  2. Klicken Sie auf eine beliebige Domänenkachel.

    Daraufhin wird der Fensterbereich Liste der Vorfälle mit einer Liste der Vorfälle angezeigt, die in der Domäne aufgetreten sind.

  3. In dieser Liste können Sie die folgenden Aufgaben ausführen:

    • Suchkriterien zum Suchen nach bestimmten Vorfällen definieren (1).

    • Detaillierte Erläuterungen zu den Angriffen aufrufen, die das AD betreffen (2).

    • Einen Vorfall schließen oder erneut öffnen (3).

    • Einen Bericht mit allen Vorfällen herunterladen (4).

  1. Geben Sie im Feld Suchen den Namen einer Quelle oder eines Ziels ein.

  2. Klicken Sie auf die Datumsauswahl, um ein Startdatum und ein Enddatum für den Vorfall auszuwählen.

  3. Klicken Sie auf n/n Indikatoren, um die zugehörigen Indikatoren auszuwählen.

  4. Stellen Sie den Umschalter Geschlossene Vorfälle auf Ja, um die Suche auf geschlossene Vorfälle zu beschränken.

  5. Klicken Sie auf Aktualisieren.

    Tenable Identity Exposure aktualisiert die Liste mit den übereinstimmenden Vorfällen.

  1. Wählen Sie in der Liste der Vorfälle einen Vorfall aus, den Sie schließen oder erneut öffnen möchten.

  1. Klicken Sie unten im Fensterbereich auf das Dropdown-Menü und wählen Sie Ausgewählte Vorfälle schließen aus.

  1. Klicken Sie auf OK.

    In einer Meldung werden Sie aufgefordert, den Schließvorgang zu bestätigen.

  1. Klicken Sie auf Bestätigen.

    In einer Meldung wird bestätigt, dass Tenable Identity Exposure den Vorfall geschlossen hat und ihn nicht länger anzeigt.

  1. Klicken Sie im Fensterbereich Liste der Vorfälle auf den Umschalter Geschlossene Vorfälle, um ihn auf Ja zu setzen.

    Tenable Identity Exposure aktualisiert die Liste mit geschlossenen Vorfällen.

  2. Wählen Sie den Vorfall aus, den Sie erneut öffnen möchten.

  3. Klicken Sie unten im Fensterbereich auf das Dropdown-Menü und wählen Sie Ausgewählte Vorfälle erneut öffnen aus.

  4. Klicken Sie auf OK.

    In einer Meldung wird bestätigt, dass Tenable Identity Exposure den Vorfall erneut geöffnet hat.

Tipp: Sie können Vorfälle auch in einem Massenvorgang schließen oder erneut öffnen. Klicken Sie unten im Fensterbereich auf Angezeigte Objekte auswählen.

  1. Klicken Sie unten im Fensterbereich Liste der Vorfälle auf die Schaltfläche Alle exportieren.

    Der Seitenbereich Vorfälle exportieren wird geöffnet.

  2. Wählen Sie im Dropdown-Listenfeld Trennzeichen ein Trennzeichen für die exportierten Daten aus: Komma oder Semikolon.

    Tenable Identity Exposure exportiert die Daten im CSV-Format, sodass Sie sie herunterladen können.

Vorfallsdetails

Jeder Eintrag in der Liste der Vorfälle umfasst die folgenden Informationen:

  • Datum – Das Datum, an dem der Vorfall, der den IoA ausgelöst hat, aufgetreten ist. Tenable Identity Exposure zeigt den jüngsten Vorfall am Anfang der Zeitleiste an.

  • Quelle – Die Quelle, von der der Angriff ausgegangen ist, und ihre IP-Adresse.

  • Angriffsvektor – Eine Erklärung, was während des Angriffs geschah.

    Tipp: Bewegen Sie den Mauszeiger über den Angriffsvektor, um weitere Informationen zum IoA anzuzeigen.

  • Ziel – Das Ziel des Angriffs und seine IP-Adresse.

  • Angriffsname – Der technische Name des Angriffs.

  • Domäne – Die vom Angriff betroffenen Domänen.

    Tipp: Tenable Identity Exposure kann maximal fünf Fensterbereiche anzeigen, wenn Sie in der Liste der Vorfälle auf mehrere interaktive Elemente (Links, Aktionsschaltflächen usw.) klicken. Um alle Fensterbereiche gleichzeitig zu schließen, klicken Sie auf eine beliebige Stelle auf der Seite.

Angriffsdetails

In der Liste der Vorfälle können Sie einen bestimmten Angriff aufschlüsseln und erforderliche Maßnahmen ergreifen, um ihn zu beheben.

So zeigen Sie Angriffsdetails an:

  1. Wählen Sie in der Liste der Vorfälle einen Vorfall aus, den Sie aufschlüsseln möchten, um Details anzuzeigen.

  2. Klicken Sie auf Details.

    Tenable Identity Exposure zeigt die Details zum Angriff an:

Die Registerkarte Beschreibung enthält die folgenden Abschnitte:

  • Vorfallsbeschreibung – Gibt eine kurze Beschreibung des Angriffs.

  • MITRE ATT&CK Info – Enthält technische Informationen aus der Wissensdatenbank von Mitre Att&ck (Adversarial Tactics, Techniques, and Common Knowledge). Mitre Att&ck ist ein Framework, das Angriffe von Bedrohungsakteuren klassifiziert und die Aktionen beschreibt, die Angreifer durchführen, nachdem sie ein Netzwerk kompromittiert haben. Außerdem werden Standardkennungen für Sicherheitsschwachstellen bereitgestellt, um in der Cybersecurity-Community ein gemeinsames Verständnis zu gewährleisten.

  • Zusätzliche Ressourcen – Enthält Links zu Websites, Artikeln und Whitepapers mit ausführlicheren Informationen über den Angriff.

Auf der Registerkarte YARA-Erkennungsregeln werden die YARA-Regeln beschrieben, die Tenable Identity Exposure verwendet, um AD-Angriffe auf Netzwerkebene zu erkennen und damit die Erkennungskette von Tenable Identity Exposure zu stärken.

Hinweis: YARA ist der Name eines Tools, das hauptsächlich in der Malware-Forschung und -Erkennung eingesetzt wird. Es bietet einen regelbasierten Ansatz zur Erstellung von Beschreibungen von Malware-Familien auf der Grundlage von textuellen oder binären Mustern. Eine Beschreibung ist im Wesentlichen ein YARA-Regelname. Die Regeln bestehen dabei aus einer Reihe von Zeichenfolgen und einem booleschen Ausdruck (Quelle: wikipedia.org).

Siehe auch