Indicators of Attack
Tenable Identity Exposure Die Indicators of Attack (IoA) helfen Ihrer Organisation, Angriffe mit den neuesten Exploit-Techniken auf Ihre Active Directory-Infrastrukturen zu erkennen und umgehend Maßnahmen zu ergreifen. Dazu gehören:
-
Top 3-Vorfälle: Eine einheitliche Darstellung von IoAs zeigt eine Echtzeitzeitleiste zusammen mit den Top drei Vorfällen, von denen Ihr AD betroffen war, sowie der Verteilung der Angriffe – alles innerhalb einer einzigen Oberfläche.
-
Details zu IoA: Innerhalb von Tenable Identity Exposure bietet der IoA-Bereich Informationen zu Angriffen, die in Ihrem AD stattgefunden haben.
-
Vorfälle mit IoA: Die Liste der IoA-Vorfälle bietet umfassende Details zu bestimmten Angriffen auf Ihr AD. Diese Informationen ermöglichen es Ihnen, basierend auf dem Schweregrad des IoA angemessen zu reagieren.
Die Funktion „Indicators of Attack“ verfügt über eine Reihe von Merkmalen, die Ihre Untersuchungsmöglichkeiten verbessern:
-
Durchsuchbar und filterbar: Sie können den IoA mühelos über die Zeitleiste untersuchen oder Filter auf der Grundlage von Gesamtstruktur, Domäne und Kritikalitätsstufe anwenden, um effiziente und gezielte Ergebnisse zu erzielen.
-
Exportfunktion: Ermöglicht den Export von IoA-Daten in den Formaten PDF, CSV oder PPTX.
-
Diagrammtyp ändern: Bietet die Möglichkeit, den Diagrammtyp zu ändern, so dass Sie entweder die Verteilung des Schweregrads der Angriffe oder die Top-3-Angriffe und deren jeweilige Anzahl an Vorkommnissen anzeigen können.
-
Aktion bei IoA-Vorfällen: Ermöglicht es Ihnen, einen Vorfall auszuwählen, den Sie schließen oder erneut öffnen möchten.
Tenable Identity Exposure erkennt Angriffe und weist ihnen einen Schweregrad zu:
Schweregrad | Beschreibung |
---|---|
Kritisch – Rot | Es wurde ein nachweislicher Post-Exploitation-Angriff erkannt, für den Domänendominanz eine Voraussetzung ist. |
Hoch – Orange | Es wurde ein größerer Angriff erkannt, über den ein Angreifer Domänendominanz erlangen kann. |
Mittel – Gelb | Der IoA hängt mit einem Angriff zusammen, der zu einer gefährlichen Rechteausweitung führen oder den Zugriff auf sensible Ressourcen ermöglichen könnte. |
Gering – Blau | Warnt vor verdächtigem Verhalten in Zusammenhang mit Auskundschaftung oder Vorfällen mit geringen Auswirkungen. |
Erkennen Sie kritische IoAs mit großen Auswirkungen, die mit Ihren spezifischen Sicherheitsrisiken und -bedenken übereinstimmen.
Um das Risiko von falsch positiven Meldungen oder das Übersehen legitimer Angriffe zu minimieren, ist es wichtig, die IoAs auf Ihre Umgebung abzustimmen. Dies beinhaltet:
-
Anpassen von Schwellenwerten: Kalibrieren Sie die IoA-Empfindlichkeit, um falsch positive Ergebnisse zu reduzieren und sicherzustellen, dass Warnungen aussagekräftig und handlungsrelevant sind.
-
Konten und Aktivitäten auf die Zulassungsliste setzen: Schließen Sie legitime Aktivitäten als Auslöser von IoAs aus, um die Warngenauigkeit zu erhöhen und Untersuchungen zu optimieren.
-
Korrelieren von IoAs: Analysieren Sie die Beziehungen zwischen verschiedenen IoAs, um umfassendere Angriffsmuster zu erkennen.
-
Wählen Sie nach der Aktivierung eines IoA im Navigationsbereich „Indicators of Attack“ aus, oder klicken Sie auf das Glockensymbol oben rechts auf der Startseite.
-
Jeder Indikator gibt Ihnen detaillierte Informationen über den Vorfall und ermöglicht es Ihnen, nach Überprüfung geeignete Maßnahmen zu ergreifen:
-
Wann der Angriff stattfand
-
Beschreibung des Angriffs
-
Quelle des Angriffs
-
Ziel des Angriffs
-
MITRE ATT&CK®-Informationen
-
YARA-Erkennungsregeln
-
Zusätzliche Ressourcen
-
-
Wählen Sie „Details“, um die Beschreibung aufzurufen, wie in diesem Beispiel dargestellt, das sich auf die Auflistung lokaler Administratoren konzentriert.
-
Die Registerkarte „Beschreibung“ enthält Informationen zu spezifischen Angriffen auf Ihr Active Directory (AD).
-
Die Registerkarte „YARA-Erkennungsregeln“ enthält Informationen über die YARA-Regeln, die Tenable Identity Exposure zur Erkennung von Active Directory-Angriffen auf Netzwerkebene verwendet. Dies verbessert die Erkennungsfunktionen von Tenable Identity Exposure insgesamt.
-
Arbeiten Sie mit dem Active Directory-Administrator oder dem zuständigen Stakeholder zusammen, um den Vorfall zu untersuchen und zu beheben. Entscheiden Sie, ob der Vorfall geschlossen oder erneut geöffnet werden soll, und implementieren Sie Maßnahmen, um ein erneutes Auftreten zu verhindern.
-
Wenn es sich um einen erkannten oder autorisierten Angriff handelt, haben Sie die Möglichkeit, den IoA entsprechend anzupassen, um zu verhindern, dass der IoA ihn in zukünftigen Instanzen kennzeichnet.
Siehe auch
-
Indicators of Attack
-
Customize an Indicator