Intrusion Detection System
Mit dem in den Pulsar-Agent integrierten Intrusion Detection System können Sie einfach ein hostbasiertes Intrusion Detection System implementieren.
Angriffe
Enginsight unterstützt die Erkennung der folgenden Attacken:
SYN-Flooding
ARP-Spoofing
Ping of Death
Ping-DDoS
Blacklist IP Database
DNS-Spoofing
Port Scan
TCP
UDP
Bruteforce
SSH
MySQL
MongoDB
HTTP Basic Authentication
FTP
RDP
RPC
VNC
SMB
Cross Site Scripting
HTTP Request Corruption
HTTP Response Splitting
HTTP Request Smuggling
Remote Code Execution
Path Traversal
SQL Injection
SSL/TLS Cipher Enumeration
SSL/TLS Protocol Scan
Bot-Aktivität
Zusätzlich unterstützt Enginsight die Erkennung von Angriffen, die in den SNORT Community Rules beschrieben sind. Dabei handelt es sich auch um spezifischere Angriffe (z.B. Attacken auf Microsoft IIS oder Exange Server, Zugriffsversuche auf sensible Daten eines Webservers oder CGI-Angriffe).
Die verwendeten SNORT Community Rules fallen unter die GPL Lizenz
IDS konfigurieren
Um das IDS auf Ihren Servern und Clients mit installiertem Pulsar-Agent optimal zu nutzen, brauchen Sie lediglich zwei Einstellungen treffen.
Netzwerkmitschnitt aktivieren
Aktivieren Sie den Netzwerkmittschnitt auf allen Hosts, auf denen das IDS aktiv sein soll. Dies können Sie entweder in den Einstellungen des einzelnen Hosts erledigen oder Sie nutzen den Policy Manager.
Detection Level wählen
Alle Regeln zur Erkennung von Cyberattacken haben wir nach Performance Impact sortiert. So können Sie für jeden Host die entsprechende Abwägung zwischen Performance und Sicherheit treffen.
Sie haben die Wahl zwischen fünf Leveln:
Level 0: Maximale Performance Zugunsten einer maximalen Geräteperformance wird die Erkennungsrate deutlich beschnitten.
Level 1: Performance vor Sicherheit Die wichtigsten Bedrohungen werden erkannt, wobei der Fokus auf einer guten Geräteperformance liegt. Wir empfehlen dieses Level für Clients und für unter hoher Last stehende Server.
Level 2: Ausgewogene Performance und Sicherheit Das Level bietet eine Balance zwischen der Erkennung von komplexeren Bedrohungen und der Geräteperformance. Wir empfehlen dieses Level für normal ausgelastete Server.
Level 3: Sicherheit vor Performance Auch seltene und spezifische Angriffe werden erkannt, Einschränkungen in der Geräteperformance sind aber möglich. Diese Einstellung ist für besonders schützenswerte Geräte oder Netzwerksegmente vorgesehen.
Level 4: Maximaler Schutz Diese Einstellung bietet die maximale Erkennung von Bedrohungen, kann aber die Geräteperformance wesentlich beeinträchtigen. Daher ist sie nur in Einzelfällen oder für den temporären Einsatz empfehlenswert.
Sie können das gewünschte Level in den Einstellungen des einzelnen Hosts wählen. Es empfiehlt sich jedoch den Policy Manager zu nutzen.
Netzwerkanomalien
Unter Netzwerkanomalien finden Sie die Analyseergebnisse des Intrusion Detection Systems. Mit der Searchbar können Sie sich die Ergebnisse nach Host, Kategorie, Kontinent und Risikolevel filtern. Sie können die Auswahl auch auf einen bestimmten Zeitraum einschränken.
Mit dem Alarm "Verdächtiger Netzwerkverkehr" können Sie sich über Angriffsszenarien informieren lassen. Das dynamische Blocking des Shield Moduls erlaubt Ihnen Netzwerkattacken zu blockieren.
Stage
Hackerattacken laufen meist nach einem ähnlichen Muster ab und durchlaufen mehrere Stufen (Stages). Nach dem Sammeln von möglichst vielen Informationen versucht der Hacker sich Zugriff zu verschaffen, ihn zu behalten und sich im Netzwerk auszubreiten. Basierend auf dem detektierten Verhalten im Netzwerk, geben wir an, auf welcher Stufe der Angreifer sich bereits befindet, nämlich:
Information Gathering: Sammeln von grundlegenden Informationen über die IT-Systeme.
Service Scanning: Gezieltes Suchen nach möglicherweise anfälligen Services.
Gaining Access: Versuche, Zugriff auf bestimmte Services zu erlangen.
Persisting Access: Erlangen eines dauerhaften Zugriffs auf die Systeme.
Infiltrating Network: Ausbreiten der Attacke auf weitere Systeme im Netzwerk.
Detailansicht
Indem Sie eine Attacke anklicken, gelangen Sie zu einer Detailansicht, die Ihnen weitergehende Informationen zum stattgefundenen Angriff liefert. In einem Profil des Angreifers erfährst Sie,
welche Stufe (Stage) der Angreifer schon erlangt hat.
welche Hosts er angegriffen hat.
welche Angriffsmuster er angewendet hat (in deiner und anderen Organisationen).
ggf. seinen Hostname.
von wo der Angriff stattgefunden hat.
In einer Verlaufsübersicht können Sie den Ablauf der Attacken nachvollziehen und eine Visualisierung verdeutlicht Ihnen den zeitlichen Verlauf. Die weiterführenden Details zu den einzelnen Events können Sie mittels Searchbar durchsuchen und filtern.
Weltkarte
Unter dem Menüpunkt Weltkarte finden Sie eine Live -Ansicht der durch das IDS erfassten Events. Eine Auflistung auf der linken Seite zeigt Ihnen aktuelle Angriffe mit Zuordnung der Kritikalität inklusive betroffener IP-Adressen und dem Land, aus welchem der Angriff gestartet wurde.
Auf der rechten Seite finden Sie einen Globus, auf dem Angriffe in Echtzeit visualisiert werden und Sie auf den ersten Blick über die Lokalität gestarteter Angriffe in Kenntnis setzt.
Klicken Sie auf Autorotate, um eine sich drehende Ansicht des Globus zu erhalten oder bewegen Sie diesen, um genauer auf ein Land zu schauen. Per scrollen über das Mausrad können Sie zusätzlich in der Ansicht hinein oder hinaus zoomen.
Whitelist
Mit der Whitelist können Sie das IDS mit Blick auf Ihre spezifische IT-Infrastruktur zu optimieren. Überprüfen Sie dazu alle Einträge, die Sie unter Netzwerkanomalien aufgelistet bekommen und entscheiden Sie, ob Sie das Risiko akzeptieren möchten. Das heißt, Sie legen fest, dass es sich um keine Cyberattacke oder keine ernst zu nehmende Bedrohung handelt.
Whitelisteintrag hinzufügen
Um einen Whitelisteintrag hinzuzufügen, haben Sie zwei Möglichkeiten:
Navigieren Sie zu Host → Whitelist und klicken Sie Whitelisteintrag hinzufügen. Sie starten mit einer leeren Eingabemaske.
Um passgenaue Einträge für detektierte Attacken hinzuzufügen, können Sie unter Host → Netzwerkanomalien bei einem Eintrag auf "Risiko behandeln" klicken. Dann ist die Eingabemaske bereits mit den Daten des detektierten Angriffs vorausgefüllt. Sie können jedoch noch Anpassungen vornehmen, bspw. in der Angriffs- oder Host-Zuordnung.
So legen Sie den einzelnen Eintrag an:
Vergeben Sie eine aussagekräftige Beschreibung für die Whitelist.
Geben Sie die IP-Adresse(n), die Sie ignorieren lassen in der CIDR-Schreibweise an. So lässt sich sehr effizient das Subnetz definieren, für das die Ausnahmeregel gelten soll. Wollen Sie lediglich eine IP-Adresse zuordnen, wählen Sie die Präfixlänge /32 für IPv4-Adressen bzw. /128 für IPv6-Adressen.
Definieren Sie den Angriff. Dabei besteht die Möglichkeit mit Wildcards (*) zurückzugreifen, zum Beispiel:
server-webapp*
,bruteforce*
oder*rdp*
.Um die Ausnahmeregel genauer zu spezifizieren, nutzen Sie das Feld "Erweiterter Filter". Hier können Sie mit den detektierten Details des IDS arbeiten. So können Sie beispielsweise den Whitelist-Eintrag auf einen speziellen Dienst beschränken. Dabei besteht die Möglichkeit mit Wildcards (*) zurückzugreifen, zum Beispiel:
chrom*
oderexample.com*
.
Wenn ein Wert im Feld "Erweiterter Filter" eingetragen ist, gilt die Whitelist nur für Angriffe, die auch ein Payload aufweisen, also nicht für Angriffe wie Portscans oder Bruteforces. Möchten Sie mehrere oder alle Angriffe inklusive solcher ohne Payload whitelisten, dann lassen Sie das Feld "Erweiterter Filter" leer.
Legen Sie fest, für welche Hosts der Whitlisteintrag gelten soll. Wählen Sie entweder einzelne Hosts ("Ausschließlich") oder nutzen Tags.
Speichern Sie die Änderungen.
Haben Sie auf Ihren Hosts auch das dynamische Blocken des Shield-Moduls aktiv, gelten die erstellten Whitelist-Einträge auch für Ihr Intrusion Prevention System. Schließlich lassen sich nicht detektierte Netzwerkattacken auch nicht mehr blocken. Nutzen Sie Shield, steht Ihnen mit manuellen Regelwerken außerdem eine zweite Möglichkeit zu Verfügung, Ausnahmen hinzuzufügen. Während IDS-Whitelists sich auf Angriffstypen beziehen, lassen sich mit manuellen Regelwerken IP-Adressen oder ganze Subnetze komplett ignorieren.
Mehr zum Thema Intrusion Detection and Prevention mit Enginisght finden Sie hier.
Last updated