Mit Filterschwellen können Sie nicht nur dann Maßnahmen ergreifen, wenn ein bestimmtes Ereignis eintritt, sondern auch in Abhängigkeit davon, wie oft das Ereignis eintritt. Einige Schwellenwertszenarien:
•benachrichtigt werden, wenn ein Ereignis X-mal innerhalb einer bestimmten Zeitspanne auftritt
•Verhindern, dass Ereignisse eine Aktion überfluten
•Erkennen von lateralen Bewegungen im gesamten Netzwerk (erfordert Collector)
•Erkennen, ob sich Benutzer mehr als X Mal mit einem falschen Passwort anmelden
Die Schwellenwerte werden auf einer Pro-Filter-Basis eingerichtet, und Sie können auf die Schwellenwerteinstellungen zugreifen, indem Sie einen Filter bearbeiten und auf die Registerkarte "Schwellenwert" klicken. Setzen Sie einen Schwellenwert entweder auf "Agentenseite" oder "Collectorseite", um die Schwellenwerteinstellungen für einen Filter zu aktivieren. Filter mit Schwellenwerten werden mit einem kleinen Lineal in der Liste angezeigt.
Schwellenwert-Typ
Agentenseitig
Diese Schwellenwerte werden auf dem Agenten ausgeführt, der einzige Typ von Schwellenwerten, der bis v3.3 unterstützt wurde. Agentenseitige Schwellenwerte sollten immer bevorzugt werden, es sei denn, eine Korrelation von Ereignissen, die auf mehreren Hosts auftreten, ist notwendig. Erforderlich für Filter, die Teil eines Filter-Verkettungspakets sind.
Collector-seitig
Diese Schwellenwerte werden auf dem Collector ausgeführt und erfordern dies:
•ein Collector installiert ist und läuft
•die referenzierte Aktion des Filters verwendet einen Collector
•vor dem Schwellenwert auf dem Collector werden keine agentenseitigen Schwellenwerte verarbeitet
•der Filter nicht Teil eines Filterverkettungspakets ist
Collectorseitige Schwellenwerte ermöglichen es, Ereignisse von mehreren Hosts zu korrelieren und auszuwerten, um Bedrohungen und Muster zu erkennen, die mehr als einen Host betreffen. So können beispielsweise seitliche Bewegungen durch die Analyse bestimmter Anmeldeereignisse erkannt werden.
Das Ereignis "Computer" und die Optionen "Gruppieren nach" sind nur für collector-seitige Schwellenwerte verfügbar.
Wenn der primäre Zweck eines Collector-Schwellenwerts eher darin besteht, Aktivität zu erkennen als zu unterdrücken (z.B. wenn alle Kontrollkästchen unter "Ereignisverarbeitung" nicht markiert sind), dann wird empfohlen, wenn möglich eine Aktion zuzuordnen, die die betreffenden Ereignisse bereits verarbeitet (z.B. eine Datenbankaktion), anstatt eine andere Aktion (z.B. E-Mail) zuzuordnen.
Bei häufig auftretenden Ereignissen kann dies das Datenvolumen reduzieren, indem sichergestellt wird, dass Ereignisse nicht zweimal - einmal für jede Aktion - übertragen werden. |
Schwellenwert-Intervall
Geben Sie das Schwellenwertintervall an, z.B. 20 Ereignisse in einer Stunde.
Ereignisverarbeitung
Hiermit können Sie konfigurieren, ob Ereignisse vor und/oder nach Erreichen des Schwellenwerts an die konfigurierte Benachrichtigung weitergeleitet werden. Sie können in diesem Abschnitt entweder alle, eines oder keines der Ereignisse markieren.
Ereignisse weiterleiten, bis die Schwelle erreicht ist
Die Markierung dieses Kästchens bedeutet, dass Ereignisse, die Ihrem Filter entsprechen, verarbeitet (und an die Benachrichtigung weitergeleitet) werden, bis der Schwellenwert erreicht ist.
Ereignisse weiterleiten, nach Erreichen der Schwelle
Wenn Sie dieses Kästchen markieren, bedeutet dies, dass Ereignisse, die Ihrem Filter entsprechen, verarbeitet werden, nachdem der Schwellenwert erreicht wurde.
Nur erste Veranstaltung weiterleiten
Sie können einen Schwellenwertfilter so konfigurieren, dass er nur das erste Ereignis weiterleitet, nachdem ein Schwellenwert erreicht wurde, anstatt alle Ereignisse weiterzuleiten, nachdem der Schwellenwert erreicht wurde.
Dies ist besonders nützlich, wenn Sie mit Ereignissen aus dem Sicherheitsprotokoll arbeiten. Wenn Sie einen Schwellenwert für einen Filtertyp mit fehlgeschlagenen Anmeldeversuchen konfigurieren (z.B. Benachrichtigen Sie mich, wenn es mehr als 5 fehlgeschlagene Anmeldeversuche in 5 Minuten gibt), dann werden Sie normalerweise nicht die ersten fehlgeschlagenen Anmeldeversuche erhalten wollen, da Benutzer ständig falsche Passwörter eingeben. Wenn der Schwellenwert jedoch überschritten wird, möchten Sie wahrscheinlich wissen, welcher Benutzer versucht, sich anzumelden. Wenn Sie den Filter nur so konfigurieren, dass er alle Ereignisse nach dem Schwellenwert weiterleitet, dann erhalten Sie für jeden falschen Passwortversuch eine E-Mail, was normalerweise auch nicht erwünscht ist. Stattdessen konfigurieren Sie den Filter so, dass er nur das erste Ereignis nach Überschreiten des Schwellenwertes weiterleitet, und schreiben dann nach Ablauf des Zeitraums ein Ereignis in das Ereignisprotokoll, um anzugeben, wie viele fehlgeschlagene Anmeldeversuche es für dieses Benutzerkonto gegeben hat.
Es ist nicht erlaubt, keines der beiden Kontrollkästchen zu aktivieren, wenn Sie mindestens ein Kontrollkästchen im Abschnitt "Ereignisprotokollierung" aktivieren. In diesem Fall wird der Filter niemals Ereignisse weiterleiten, sondern ein Ereignis in das Ereignisprotokoll schreiben, wenn der Schwellenwert erreicht ist.
Ereignisprotokollierung
Dieser Abschnitt steuert, ob Ereignisse erzeugt und im Ereignisprotokoll der Anwendung protokolliert werden, wenn der Schwellenwert erreicht wird und/oder wenn die Schwellenwertperiode abgeschlossen ist.
Protokoll, wenn der Schwellenwert erreicht ist
Wenn Sie dieses Kästchen markieren, wird ein Ereignis sofort in das Ereignisprotokoll der Anwendung geschrieben, wenn der Filter seinen Schwellenwert erreicht.
Protokoll bei Erreichen/Überschreiten des Schwellenwerts und Ablauf des Intervalls
Diese Option ähnelt der ersten, außer dass diese Funktion ein Ereignis erst dann protokolliert, wenn der Schwellenwert erreicht und das Schwellenwertintervall verstrichen ist. Der Vorteil dieser Option besteht darin, dass das vom Schwellenwertfilter protokollierte Ereignis Sie wissen lässt, wie viele Ereignisse von diesem Filter verarbeitet und wie viele fallen gelassen wurden.
Protokollileren als
Geben Sie an, ob Sie Ereignisse als Fehler-, Warn- oder Informationsereignisse protokolliert haben möchten. Weitere Informationen darüber, welche Ereignisse durch diese Funktion im Ereignisprotokoll protokolliert werden, finden Sie unter Ereignisprotokolle.
Schwellenwert-Abgleich
Standardmäßig werden die internen Zähler (die zu den Schwellwertgrenzen zählen) jedes Mal erhöht, wenn ein Ereignis einem Filter entspricht (Filtereinstellung). Obwohl dies in den meisten Fällen wünschenswert ist, können Sie auch Schwellenwertzähler auf Ereignisaufzeichnungen anwenden lassen, was granularere Schwellenwerteinstellungen ermöglicht, aber etwas ressourcenintensiver ist.
Filter (jedes Ereignis, das von diesem Filter verarbeitet wird)
Jedes Mal, wenn ein Ereignis dem Filter entspricht, werden die internen Schwellenwertzähler erhöht. Dies ist die empfohlene Option für Schwellenwertfilter, die auf Ereignisse angewendet werden, die nicht aus dem Sicherheitsereignisprotokoll stammen.
Ereignis-Eigenschaften / Einfügungs-Strings (jedes Ereignis hat gemeinsame Eigenschaften)
Jedes Ereignis, das die gleichen Werte für die ausgewählten Eigenschaften hat, erhöht die internen Schwellenwertzähler. Diese Funktion ist vor allem bei Ereignissen aus dem Sicherheitsereignisprotokoll nützlich, z.B. zur Analyse fehlgeschlagener Anmeldungen. Anstatt dass jedes Ereignis auf den Schwellenwert angerechnet wird, zählen nur Ereignisse, die bestimmte Ereigniseigenschaften gemeinsam haben, einschließlich Einfügetexten, falls ausgewählt, zum Gesamtzähler.
Das Feld "Computer" ist nur für Schwellenwerte auf der Collector-Seite verfügbar, da die Eigenschaft "Computer" für Schwellenwerte auf der Agent-Seite immer gleich ist. |
Das folgende Diagramm veranschaulicht, wie die Anpassung auf der Grundlage von Ereigniseigenschaften und Einfügungetexten funktioniert. In diesem Beispiel verarbeitet ein Filter 4624 Ereignisse und verwendet Einfügungetext 5, welcher die "Sicherheits-ID" darstellt, als eindeutige Kennung. Folglich werden virtuelle Schwellenwertobjekte für jedes eindeutige Auftreten einer angetroffenen Sicherheits-ID erstellt. Wenn dieselbe Sicherheitskennung innerhalb von 3 Minuten 4 Mal auftritt, wird sofort ein Alarm erzeugt - in diesem Beispiel UserC. Ein weiterer Alarm wird erzeugt, wenn die Schwellenwertperiode von 3 Minuten verstrichen ist.
Gruppieren nach (Collector-seitig)
Standardmäßig werden die Schwellenwerte erhöht, wenn ein Ereignis einem Filter oder den ausgewählten Ereigniseigenschaften entspricht. Bei Verwendung der Funktion "Gruppieren nach" wird die Anzahl der erstellten Gruppen mit dem Schwellenwert anstelle der Anzahl der Ereignisse verglichen.
Das nachstehende Diagramm veranschaulicht, wie die Übereinstimmung auf der Grundlage von Ereigniseigenschaften und Einfügungetexten in Kombination mit der Gruppierung nach Computer funktioniert, um seitliche Netzwerkbewegungen zu erkennen. In diesem Beispiel verarbeitet ein Filter 4624 Ereignisse und verwendet Einfügungetext 5, welcher die "Sicherheits-ID" darstellt, als eindeutige Kennung. Anstatt jedoch nur die Vorkommen von Sicherheits-IDs zu zählen (wie im vorherigen Beispiel gezeigt), verfolgt das Schwellenwertobjekt stattdessen alle verschiedenen Computernamen, auf die es stößt.
Im folgenden Beispiel hat sich BenutzerA bei 5 verschiedenen Hosts angemeldet, wodurch die Schwellengrenze von 4 überschritten wurde. Während die Gesamtzahl der Anmeldungen für diesen Benutzer aufgezeichnet wird (8), zählt diese Zahl nicht für den Schwellenwert. Nur die eindeutige Anzahl von Computerwerten (5) wird ausgewertet. BenutzerB hingegen hat sich nur an einem einzigen Computer angemeldet, insgesamt 3 Mal.