ThreatSync+ Datenverkehr untersuchen

Gilt für: ThreatSync+ NDR, ThreatSync+ SaaS

Die Seite Datenverkehr bietet eine leistungsstarke Such- und Filterschnittstelle, mit der Sie eine tiefergehende Untersuchung der Aktivität in Ihrem Netzwerk durchführen können. Sie können die Seite Datenverkehr von verschiedenen anderen Stellen in der ThreatSync+ Benutzeroberfläche öffnen. Wenn Sie von einer anderen Seite zur Seite Datenverkehr navigieren, ist sie automatisch mit Filtern vorausgefüllt, um Details über das/den/die zuvor von Ihnen betrachtete(n) Smart Alert, Verhalten, Regel-Warnmeldung, Asset oder Knoten zu zeigen.

Screenshot of the Traffic page in ThreatSync+ NDR

Die Seite Datenverkehr hat folgende Komponenten:

  • Aktivitätsfilterkontrollen
  • Aktivitätsdiagramm
  • Detaillierte Aktivitätsaufzeichnungen
  • Fenster Bekannter Akteur

Aktivitätsfilter

Mit Aktivitätsfiltern können Sie auswählen, welche Aktivitätstypen angezeigt werden. Dies ermöglicht es Ihnen, Ergebnisse auf Basis der von Ihnen gewählten Daten und Datenverkehrsfilter einzugrenzen.

Screenshot of the Activity Filters on the Traffic page

Sie können spezifische Aktivitätsfilter nutzen, um die auf der Seite angezeigten Informationen zu filtern.

Weitere Informationen zu Aktivitätsfiltern finden Sie in folgenden Abschnitten:

Datenquelle

Wenn Ihre Kollektoren Datenverkehr-Protokolle oder NetFlow-Feeds von Fireboxen oder ThreatSync+ NDR-Kollektor-Agenten erhalten, dann stehen folgende Datenquellen zur Verfügung:

  • NetFlow-Flow-Zahl
  • NetFlow-Paketanzahl
  • NetFlow-Byte-Anzahl
  • Von ThreatSync+ NDR generierte ungewöhnliche Ereignisse

Datenfilter

Die verfügbaren Datenfilter hängen vom Typ der ausgewählten Datenquelle ab. Diese Tabelle zeigt, welche Filter mit welchen Datenquellen verfügbar sind.

Datenfilter Beschreibung NetFlow-Datenquellen Ereignisdatenquelle
Portnummer Anwendungs-Portnummer Dies ist normalerweise der Ziel-Port, der vom Anfragenden verwendet wird, wenn er mit dem Antwortgeber kommuniziert. Ja, für TCP und UDP Ja
Konversationen Wird von ThreatSync+ NDR auf Basis von Protokolltyp, Kennzeichen und Zeit der NetFlow-Protokolle berechnet, welche die Art der Konversation anzeigen. Der Wert gibt an, ob es sich beim Protokoll um ICMP, TCP oder UDP handelt und ob die Flows Teil einer beidseitigen Konversation oder unbeantwortet sind. Ja Ja
Anomalietyp Der Typ des von der ThreatSync+ NDR-Analyse-Engine generierten ungewöhnlichen Ereignisses. Nein Ja

Sie können jeden Filtertyp so konfigurieren, dass er:

  • Alle Aktivitätsaufzeichnungen eines oder mehrerer ausgewählter Werte einbezieht.
  • Alle Aktivitätsaufzeichnungen mit Ausnahme der ausgewählten Werte einbezieht.
  • Für den Datenfilter Anomalietyp können Sie die Schweregradskala für Warnmeldungen bearbeiten, wenn einer oder mehrere der folgenden Anomalietypen ausgewählt ist/sind:
    • Hohes Volumen vom Asset
    • Hohes Volumen zum Asset
    • Hohe Paketanzahl vom Asset
    • Hohe Paketanzahl zum Asset
    • An eine große Anzahl Hosts gesendete Daten
    • Von einer großen Anzahl Hosts empfangene Daten
    • An große Anzahl Städte gesendete Daten
    • Von einer großen Anzahl Städte empfangene Daten
    • Ungewöhnliche Dauer ausgehender Verbindung
    • Ungewöhnliche Dauer eingehender Verbindung
    • Hohes Verhältnis von ausgehenden Bytes pro eingehenden Bytes
    • Hohes Verhältnis von eingehenden Bytes pro ausgehenden Bytes
    • Hohes Verhältnis von ausgehenden Paketen pro eingehenden Paketen
    • Hohes Verhältnis von eingehenden Paketen pro ausgehenden Paketen
    • Hohes Verhältnis eingehender Bytes
    • Hohes Verhältnis ausgehender Bytes
    • Hohes Verhältnis eingehender Pakete
    • Hohes Verhältnis ausgehender Pakete
    • Hohe Anzahl eingehender Flows
    • Hohe Anzahl ausgehender Flows
    • Ungewöhnliches Verhältnis eingehender Bytes je Flow
    • Ungewöhnliches Verhältnis ausgehender Bytes je Flow
    • Hohes Verhältnis eingehender Bytes zu eingehenden Paketen
    • Hohes Verhältnis ausgehender Bytes zu ausgehenden Paketen
    • Vermuteter DNS-Tunnel mit hohem Durchsatz
    • Vermuteter DNS-Tunnel mit niedrigem Durchsatz
    • Ungewöhnliche Gesamtdauer ausgehender Verbindung
    • Ungewöhnliche Gesamtdauer eingehender Verbindung
    • Ungewöhnliche Anzahl ungewöhnlicher Ereignisse

Weitere Informationen finden Sie unter Schweregradskala für Regel-Warnmeldungen bearbeiten.

Sie können auch Zeitfilter nutzen, um den Zeitraum vorzugeben, für den die Aktivität angezeigt werden soll.

Datenverkehr-Sets

Sie können Datenverkehr-Sets nutzen, um die Quell- und Zieladressen der Aktivitätsaufzeichnungen zu filtern. Die NetFlow- und Ereignisaufzeichnungen haben jeweils ein Set von Quellkennungen und Zielkennungen. Die Quell- und Ziel-IP-Adressfelder stammen direkt aus dem überwachten Datenverkehr.

Zusätzliche Felder im Aktivitätsdatensatz werden durch Metadaten gefüllt, die ThreatSync+ aus Ihrer Umgebung oder von vertrauenswürdigen Internet-Benennungsdiensten gesammelt hat. Jede IP-Adresse in jedem Datenfluss wird mit den folgenden Feldern gefüllt:

  • Ländername
  • Ortsname
  • Domänenname
  • Organisationsname
  • Assetname
  • Interne oder externe Netzwerkzone

Datenverkehr-Sets spiegeln die Anfrage- und Antwortaktivität zwischen einer Quelle und einem Ziel wider. Quellen und Ziele sind definiert als individuelle IP-Adressen oder als Gruppe von IP-Adressen, die einem spezifischen Ländernamen, Ortsnamen, Domänennamen, Organisationsnamen, Assetnamen oder einer Netzwerkzone entsprechen.

Ein Datenverkehr-Set beinhaltet:

  • Die Anfrageaktivität von der Quelle zum Ziel.
  • Die Antwortaktivität vom Ziel zur Quelle.

Datenverkehr-Set-Filter hinzufügen

Mit Datenverkehr-Sets können Sie ähnlichen Datenverkehr auf Basis von Quelle, Ziel und Datenverkehrsrichtung gruppieren, was es erleichtert, potenziell ungewöhnliche Aktivität zu untersuchen.

So fügen Sie einen Datenverkehr-Set-Filter hinzu:

  1. Klicken Sie auf der Seite Datenverkehr auf Datenverkehr-Set-Filter hinzufügen.
    Das Dialogfeld Datenverkehr-Set-Filter hinzufügen wird geöffnet.

Screenshot of the Add a Traffic Set Filter to Investigate dialog box

  1. Geben Sie einen Titel für den Datenverkehr-Set-Filter ein.
  2. Wählen Sie im Abschnitt Anfragende einen Antragender-Typ. Wählen Sie einen zugehörigen Untertyp.
  3. Wählen Sie im Abschnitt Antwortgeber einen Antwortgeber-Typ. Wählen Sie einen zugehörigen Untertyp.
  4. (Optional) Um ein weiteres Feld mit demselben Typ und Untertyp hinzuzufügen, klicken Sie auf Symbol Hinzufügen.
  5. Klicken Sie auf den Pfeil, um die Richtung des Datenverkehrs zwischen den Anfragenden und den Antwortgebern auszuwählen. Die Standard-Datenverkehrsrichtung ist Alle Aktivitäten zwischen Anfragenden und Antwortgebern.
  6. Klicken Sie auf Speichern.

Gesamten ein- und ausgehenden Datenverkehr einer IP-Adresse anzeigen — Konfigurationsbeispiel

Um den gesamten Datenverkehr von und zu einer IP-Adresse anzuzeigen, erstellen Sie zwei Datenverkehr-Sets.

Für das erste Datenverkehr-Set:

  1. Wählen Sie im Abschnitt Anfragende als Antragender-Typ IP.
  2. Geben Sie im Textfeld IP-Adresse eine IP-Adresse ein.
  3. Wählen Sie im Abschnitt Antwortgeber aus der Dropdown-Liste Antwortgeber-Typ Netzwerk.
  4. Wählen Sie aus der Dropdown-Liste Netzwerktyp auswählen Intern und Extern.

Screenshot of a traffic set example

Für das zweite Datenverkehr-Set:

  1. Wählen Sie im Abschnitt Anfragende aus der Dropdown-Liste Antragender-Typ Netzwerk.
  2. Wählen Sie aus der Dropdown-Liste Netzwerktyp auswählen Intern und Extern.
  3. Wählen Sie im Abschnitt Antwortgeber aus der Dropdown-Liste Antwortgeber-Typ IP.
  4. Geben Sie im Feld IP-Adresse eine IP-Adresse ein.

Screenshot of the second traffic filter example configuration

Aktivitätsdiagramm

Das Aktivitätsdiagramm zeigt einen Graphen mit mehreren Linien, davon jeweils eine Reihe für jedes definierte Datenverkehr-Set, gefiltert nach den Einstellungen, die in den Aktivitätsfiltern ausgewählt wurden.

Um Reihen ein- oder auszublenden, klicken Sie auf den Namen in der Diagrammlegende.

Screenshot of the Traffic Graph on the Traffic page

Aktivitätsdatensätze

Der Abschnitt Aktivitätsdatensätze zeigt die einzelnen ausgewählten Konversationsflows oder Ereignisdatensätze. Sie können die Tabelle nach Spalten oder in auf- oder absteigender Reihenfolge sortieren.

Um die Aktivitätsdatensätze zu filtern, geben Sie Text in das Textfeld Datenverkehr filtern ein. Dies filtert nicht das Diagramm.

Screenshot of the Activity Records section of the Traffic page in ThreatSync+ NDR

Um mehr Details über eine spezifische Aktivität anzuzeigen, klicken Sie auf Lupensymbol neben der Aktivität.

Fenster Bekannter Akteur

Um das Fenster Bekannter Akteur zu erweitern, klicken Sie im oberen rechten Abschnitt der Seite Datenverkehr auf Symbol Erweitern . Das Fenster Bekannter Akteur zeigt Informationen über die IP-Adressen, Geräte und Ports, die in Ihren Datenverkehr-Sets und -Filtern enthalten sind. Sie können die einzelnen Elemente im Fenster erweitern, um mehr Informationen und Links zu mehr Details über das jeweilige Element anzuzeigen.

Screenshot of the Known Actor pane on the Traffic page

Wenn Sie im Abschnitt Aktivitätsfilter nach Port filtern, können Sie Ports im Fenster Bekannter Akteur anzeigen. Erweitern Sie im Abschnitt Ports ein Element, um Details über den Port anzuzeigen.

Screenshot of the Ports section on the Known Actor pane

Klicken Sie auf Port-Details suchen, um zu einer externen Website zu gelangen und mehr über den Port zu erfahren.

Ähnliche Themen

ThreatSync+ überwachen

Über die ThreatSync+ Zusammenfassungsseite