Gilt für: WatchGuard Advanced EPDR
Kompromittierungsindikatoren (IOCs) sind ein De-facto-Standard für die Beschreibung von Bedingungen bzw. Zuständen von IT-Systemen, bei deren Erfüllung die Sicherheit einer Organisation gefährdet sein könnte. Das Konzept ähnelt der einer Signaturdatei, aber Kompromittierungsindikatoren nutzen ein offenes Format, das die Zusammenarbeit im Hinblick auf und den Austausch von Sicherheitserkenntnissen ermöglicht.
Es gibt verschiedene IOC-Formate, die verdächtige Verhaltensmuster beschreiben. WatchGuard Advanced EPDR ist mit dem Standard STIX 2.x kompatibel.
STIX (Structured Threat Information Expression)
STIX ist eine auf JSON basierende Sprache, die Sicherheitsbedrohungen auf strukturierte und miteinander verknüpfte Weise beschreibt, um eine bessere Lesbarkeit und Verständnis zu fördern. Sie basiert auf Diagrammen, die Objekte und deren Beziehungen intuitiv darstellen.
Jeder IOC enthält eine Reihe von Entitäten und Beziehungen, die ein Artefakt oder einen Indikator, das/der den Angriff identifiziert, genau beschreiben. Dies könnte beispielsweise IP-Adressen oder Domänen umfassen, die Botnetz-Server (C²-Server) hosten könnten, oder MD5- oder SHA-Hashes verdächtiger Dateien, die Viren und andere Bedrohungen enthalten könnten.
STIX ermöglicht es Ihnen auch, die beschriebenen Informationen in anderen Formaten, beispielsweise YARA-Richtlinien, zu nutzen.
YARA (Yet Another Recursive Acronym)
YARA ist eine richtliniebasierte Sprache für die Erstellung von Beschreibungen von Malware-Familien mit Text oder binären Mustern. Diese Richtlinien beinhalten einen Satz von Zeichenfolgen und booleschen Ausdrücken, um deren Logik zu definieren, und werden in Suchvorgängen nach möglicherweise infizierten Dateien verwendet.
Ein IOC kann in seiner Definition nur eine YARA-Richtlinie beinhalten, obwohl diese Richtlinie so komplex sein kann, dass sie ganze Malware-Familien erkennt. Beispiele für YARA-Richtlinien finden Sie unter YARA-Richtlinien für Kompromittierungsindikatoren.
Sonstige Formate
Es gibt derzeit mehrere weitere offene IOC-Formate für den Austausch von Sicherheitserkenntnissen, die ähnliche Funktionen wie STIX und YARA bieten. Zu diesen anderen Formaten gehören OpenIOC und TAXII. Ein IOC-Fomat kann auch Versionen beinhalten, die nicht miteinander kompatibel sind (beispielsweise STIX 1.x und 2.x).
Um einen IOC zu verwenden, dessen Format von WatchGuard Advanced EPDR nicht unterstützt wird, können Sie ein kostenloses Tool nutzen, das den IOC in das Format STIX 2.x umwandelt.
Kompromittierungsindikatoren (IOCs) in WatchGuard Advanced EPDR
Über die Galerie der Kompromittierungsindikatoren