Please enable JavaScript to view this site.

Beispiel 1: Anomalie bei der Anmeldung

Die folgenden Abbildungen zeigen eine mögliche Konfiguration für einen Anomalie-Filter für die Ereignis-ID 4624, die von Windows protokolliert wird, wenn sich ein Benutzer erfolgreich bei einem System anmeldet. In diesem Beispiel ist der Schlüsselwert von vornherein immer derselbe: NT AUTHORITY\System. Die Werte setzen sich zusammen aus dem Anmeldetyp (eine numerische Zahl, die die Art der Anmeldung angibt, z. B. Konsole oder RDP) sowie dem Benutzer, der sich anmeldet. Die linke Abbildung zeigt die Basislinie für 5 Anmeldungen mit unterschiedlichen Anmeldetypen, wobei 2 Anmeldungen als Anomalien betrachtet werden. Das rechte Bild zeigt die neue Basislinie, die die bisher unbekannten Anmeldungen einbezieht.

 

Da der angegebene Schlüsselwert immer derselbe ist (NT AUTHORITY\System), werden in diesem Beispiel im Wesentlichen nur Ereignisse in einer einzigen Dimension betrachtet - die Benutzernamen und die damit verbundenen Anmeldetypen. Beispiel 2 analysiert die Daten in zwei Dimensionen, da es Prozesse mit unterschiedlichen Benutzernamen verbindet.

 

filters_anomaly_logon_1

filters_anomaly_logon_2

 

clip0062

Anomaly Configuration

 

Beispiel 2: Prozessanomalie

In diesem Beispiel wird versucht, Prozesse zu erkennen, die noch nicht von einem Benutzer ausgeführt wurden. Die Konfiguration ähnelt der des ersten Beispiels, mit der Ausnahme, dass die Ereignis-ID 4688 verarbeitet wird und dynamische Werte für den Anomalieschlüssel verwendet werden.

 

Der Anomalie-Filter verwendet die Einfügezeichenfolgen 1 und 10, um den Schlüssel zu erstellen. Dies ermöglicht es EventSentry, zwischen Prozessen zu unterscheiden, die als Administrator und Prozessen, die als nicht privilegierter Benutzer gestartet werden. Die Einfügezeichenfolge Nummer 6 ist einfach der Pfad zum Prozess selbst. Da Prozesse nun mit ihren jeweiligen Schlüsseln (Benutzern) verknüpft sind, wird beim Starten eines zuvor unbekannten Prozesses (z. B. systeminfo.exe) jedes Mal, wenn dieser Prozess unter einem anderen Benutzer gestartet wird, das Anomalie-Flag gesetzt.

 

filters_anomaly_processes

 

Beachten Sie, dass die Anomaliekonfiguration für "Separate Lernperiode für neue Schlüssel" konfiguriert ist. Dadurch wird sichergestellt, dass ein neuer Benutzer, wenn er seinen ersten Prozess startet, automatisch einen neuen Lernzeitraum erhält. Wäre diese Einstellung nicht aktiviert, würde jeder Prozess, der von einem Benutzer nach dem Beginn des ersten Lernzeitraums gestartet wird, als Anomalie gekennzeichnet werden, was zu vielen Fehlalarmen führen würde.

 

clip0218

Anomalie Konfiguration