ThreatSync+ NDR Regeln der Ebene 1

Gilt für: ThreatSync+ NDR Dieses Thema gilt für ThreatSync+ NDR.

ThreatSync+ NDR beinhaltet über 100 Standard-Regeln, die Sie aktivieren können. Da manche Standard-Regeln eventuell für Ihr Netzwerk oder Ihre Sicherheitsregeln nicht geeignet sind, sind die meisten Standard-Regeln standardmäßig deaktiviert. Nur eine Untergruppe der Regeln der Ebene 1 ist standardmäßig aktiviert und generieren automatisch Warnmeldungen.

Wir empfehlen Ihnen, mit diesen Regeln der Ebene 1 zu beginnen, wenn Sie Ihr Netzwerk auf Bedrohungen überwachen.

Jeder Abschnitt dieses Themas beinhaltet:

• Beschreibung einer Regel der Ebene 1
• Wie die Regel Bedrohungen erkennt
• Wie Sie diese Regel anpassen können, damit sie in Ihrem Netzwerk effektiver wirkt

Beachten Sie für Details spezifischer Regeln der Ebene 1 die folgenden Abschnitte:

• AA21-356A —Potenzielle Log4Shell-Angriffe auf neue Organisationen über LDAP oder RMI erkennen
• AA21-356A — Potenzielle Log4Shell-Angriffe über LDAP oder RMI erkennen
• AA21-356A — Ungewöhnliches Volumen von DNS-, LDAP- oder RMI-Aktivität aufgrund von potenziellen Log4Shell-Angriffen erkennen
• Active Directory an Extern
• Aktivität zwischen Entwicklung und Produktion
• Aktivität von Hochrisikoländern
• Aktivität unter Beteiligung von IP-Adressen in der Blockliste
• Aktivität zu Hochrisikoländern
• Aktivität zu Social Media-Websites
• Ungewöhnliche Aktivität von Hochrisikoländern
• Ungewöhnliche Aktivität zu Hochrisikoländern
• Beaconing über die Web-API
• Kommunikation mit verdächtigen AA21-062A IP-Adressen
• Hohes Volumen an Datentauschbörsen erkennen
• Interner LLMNR-Datenverkehr
• Interner mDNS-Datenverkehr
• Interner WUDO-Datenverkehr
• LLMNR-Datenverkehr über Netzwerkgrenzen hinweg
• NetBIOS-NS-Datenverkehr über Netzwerkgrenzen hinweg
• RDP-Versuche von Extern an Intern
• RDP-Verbindung von neuem externen Host
• RDP von Extern an Intern
• SSH-Versuche von Extern an Intern
• Vermutete Datenexfiltration über DNS
• Unerwarteter DNS-Auflösungsserver
• Ungesicherter eingehender FTP/TFTP-Datenverkehr
• Ungesicherter eingehender IRC-Datenverkehr
• Ungesicherter eingehender Telnet-Datenverkehr
• Ungesicherte eingehende Webserver-Aktivität
• Ungesicherter interner Telnet-Datenverkehr
• WUDO-Datenverkehr über Netzwerkgrenzen hinweg

AA21-356A —Potenzielle Log4Shell-Angriffe auf neue Organisationen über LDAP oder RMI erkennen

Wie in CISA Alert AA21-356A empfohlen, identifiziert diese Regel LDAP- und RMI-Aktivität an Sites, mit denen nie zuvor kommuniziert wurde.

Funktionsweise

Die Log4j-Schwachstelle, auch Log4Shell genannt, ist eine kritische Schwachstelle mit Remote Code Execution (RCE), die einige Apache Log4j 2 Java-Bibliotheksversionen betrifft. Diese Schwachstelle erlaubt es Angreifern, die vollständige Kontrolle über betroffene Systeme zu erlangen, einschließlich der Fähigkeit:

• Passwörter und Zugangsdaten zu stehlen
• Daten zu extrahieren
• Netzwerke mit Schadsoftware zu infizieren
• Ransomware zu starten

Die Schwachstelle beruht auf einem Fehler, wie die Java Naming and Directory Interface (JNDI) Variablen auflöst. Angreifer können die Schwachstelle ausnutzen, indem sie eine speziell entwickelte Anfrage an ein anfälliges System einreichen, die dazu führt, dass das System einen zufälligen Code ausführt.

Diese erstellte Anfrage hat eine Reverse Shell-Verbindung zum Angreifergerät. ThreatSync+ NDR überwacht diese Reverse-Verbindung, wenn an LDAP- oder RMI-Ports gesendeter Datenverkehr an eine öffentliche Domäne geht, mit der die Quelladresse in der Vergangenheit noch nicht kommuniziert hat. Dieser Datenverkehr muss ausgehend sein. Die Regeldefinition umfasst alle üblichen LDAP- und RMI-Ports (Ports 389, 636, 1636, 1099, 1389, 3268, 3269).

Anpassung

Bei dieser Warnmeldung kann es sich um eine falsch-positive Meldung handeln, wenn Sie einen LDAP-Server oder einen Active Directory-Domänenserver in der öffentlichen Cloud haben. In diesem Fall können Sie diese öffentlichen IP-Adressen aus der Regel ausschließen, indem Sie sie zur Ausschlussliste Zielzone hinzufügen. Weitere Informationen finden Sie unter ThreatSync+ Regeln konfigurieren.

AA21-356A — Potenzielle Log4Shell-Angriffe über LDAP oder RMI erkennen

Wie in CISA Alert AA21-356A empfohlen, identifiziert diese Regel LDAP- und RMI-Aktivität an bekannte bösartige IP-Adressen.

Funktionsweise

Diese Regel generiert eine Warnmeldung, wenn von LDAP- oder RMI-Ports (Ports 389, 636, 1636, 1099, 1389, 3268, 3269) gesendeter Datenverkehr an eine IP-Adresse auf der ThreatSync+ NDR-Liste bösartiger IP-Adressen geht. Diese Liste ist eine Sammlung von Bedrohungsfeeds öffentlicher Internetadressen, die als bösartig gemeldet wurden.

Anpassung

Diese Regel erfordert keine individuelle Anpassung.

AA21-356A — Ungewöhnliches Volumen von DNS-, LDAP- oder RMI-Aktivität aufgrund von potenziellen Log4Shell-Angriffen erkennen

Wie in CISA Alert AA21-356A empfohlen, identifiziert diese Regel ein hohes Volumen an LDAP- und RMI-Aktivität.

Funktionsweise

Diese Regel generiert eine Warnmeldung, wenn ein übermäßiges Volumen von DNS-, LDAP- oder RMI-Datenverkehr (Ports 53,389, 636, 1636, 1099, 1389, 3268, 3269) das Netzwerk verlässt. Dies könnte auf einen Log4J-Angriff hinweisen.

Anpassung

Bei dieser Warnmeldung kann es sich um eine falsch-positive Meldung handeln, wenn Sie einen LDAP-Server oder einen Active Directory-Domänenserver in der öffentlichen Cloud haben. Falls dies der Fall ist, können Sie diese öffentlichen IP-Adressen aus der Regel ausschließen. Fügen Sie sie hierzu eine Zielzone zur Ausschlussliste hinzu. Weitere Informationen finden Sie unter ThreatSync+ Regeln konfigurieren.

Active Directory an Extern

Diese Regel generiert Warnmeldungen, wenn Active Directory-Server mit der Außenwelt unangemessen über Ports außer 53, 80, 123 oder 443 kommunizieren.

Microsoft Active Directory-Domänen-Controller sind kritische Ressourcen und sollten nicht für allgemeine Benutzeraktivitäten genutzt werden. Sie sollten nur auf die Nutzung durch bekannte autorisierte Aktivität beschränkt werden. Jede davon abweichende Aktivität sollte eine Warnmeldung generieren.

Funktionsweise

Diese Regel wird eingesetzt, um ausgehende Aktivität auf einem Port zu überwachen, von dem üblicherweise nicht erwartet wird, dass er Microsoft Active Directory-Domänen-Controller-Funktionen nutzt. Sie soll eine Warnmeldung generieren, wenn eventuell Rogue-Anwendungen installiert werden, Benutzer nicht autorisierte Anwendungen auf der Konsole ausführen oder ein Angreifer die Kontrolle übernommen hat.

Anpassung

Es können falsche Warnmeldungen auftreten, wenn es autorisierte Aktivität auf dem Server gibt, die nicht der ThreatSync+ NDR-Liste der Ports entspricht. Wenn Sie eine spezifische Anwendung haben, die Sie zulassen möchten, dann können Sie sie zur Regeldefinition hinzufügen. Wenn es in der Definition einen Port gibt, von dem Sie nie erwarten, dass er in Ihrer Umgebung verwendet wird, dann können Sie ihn aus der Liste entfernen.

Aktivität zwischen Entwicklung und Produktion

Diese Regel generiert Warnmeldungen, wenn nicht autorisierte Entwicklungssysteme mit Produktionssystemen kommunizieren. Dies ist eine klassische Kontrolle der Aufgabentrennung, die sicherstellt, dass Benutzer, die in einer Entwicklungsumgebung arbeiten, nicht gleichzeitig in der Produktionsumgebung arbeiten.

Funktionsweise

Die Regel erfordert, dass die integrierten Zonen Produktion und Entwicklung so konfiguriert werden, dass sie die Bereiche Ihres internen Netzwerks beschreiben, die Entwicklungsgeräte bzw. Produktionsgeräte beinhalten.

Um Geräte in der Produktionszone einzubeziehen, kennzeichnen Sie jedes Gerät mit dem Tag Produktion. Für die Entwicklungszone verwenden Sie das Geräte-Tag Entwicklung.

Wenn Sie keine Geräte mit einem Tag versehen, dann wird diese Regel nie einen Verstoß auslösen. Wenn die Liste Ihrer Produktions- und Entwicklungsgeräte statisch ist, dann können Sie diese Tags manuell einrichten oder sie mit einem Bulk-Import von Gerätekonfigurationen einrichten.

Anpassung

Wenn Sie Entwicklungs- und Produktionsumgebungen durch verschiedene Subnetze trennen, empfehlen wir Ihnen Folgendes:

• Sie konfigurieren diese Subnetze als interne Organisationen in den Konfigurationseinstellungen Subnetze und Organisationen
• Sie weisen den Organisationen die Tags "Produktion" und "Entwicklung" zu
• Sie bearbeiten die Zonenkonfigurationen, sodass sie alle Geräte in Ihren Organisationen einbeziehen, die diese Tags haben.

Weitere Informationen finden Sie unter Subnetze und Organisationen konfigurieren.

Aktivität von Hochrisikoländern

Diese Regel generiert Warnmeldungen für Datenverkehr von Hochrisikoländern an interne Geräte.

Funktionsweise

Diese Regel generiert Warnmeldungen, wenn ThreatSync+ NDR an ein internes Gerät gerichtete Datenverkehrsaktivität erkennt, die von Ländern stammt, die in der Zone Verbotene Länder definiert sind.

Die Liste Verbotene Länder beinhaltet eine anfängliche Liste von Ländern, die historisch ein hohes Risiko haben. Dazu gehören China, Russland und andere Länder, die von manchen Regierungen als terrorunterstützende Länder bezeichnet werden. Die Länder, die für Ihre Umgebung ein hohes Risiko darstellen, können variieren. Bearbeiten Sie die Zone, um der Liste Verbotene Länder weitere Länder hinzuzufügen oder Länder zu löschen.

Anpassung

Diese Zone wird über mehrere Regeln hinweg verwendet. Wenn Ihre Liste der Hochrisikoländer sich also für eingehenden und ausgehenden Datenverkehr unterscheidet, dann können Sie für jeden eine separate Zone erstellen und die Liste der Verbotenen Länder mit den Regeldefinitionen definieren.

Weitere Informationen finden Sie unter ThreatSync+ Zonen verwalten.

Aktivität unter Beteiligung von IP-Adressen in der Blockliste

Diese Regel generiert Warnmeldungen für Datenverkehr von und zu IP-Adressen in der Blockliste.

Funktionsweise

ThreatSync+ NDR pflegt eine Blockliste öffentlicher IP-Adressen mit hohem Risiko. Diese Liste wird periodisch aktualisiert. Diese Liste vergleicht IP-Adressen des gesamten Datenverkehrs ständig mit der Blockliste.

Diese Regel generiert Warnmeldungen, wenn ThreatSync+ NDR Datenverkehr von oder zu in der Blockliste aufgeführten IP-Adressen erkennt. Diese Regel überwacht den gesamten Datenverkehr vom internen Netzwerk (der Zone der internen Geräte) an öffentliche IP-Adressen (alle Zonen externer Domänen).

Anpassung

Wenn es Teile Ihres Netzwerks, beispielsweise ein Gastnetzwerk oder öffentlichen Zugriff, gibt, für die Sie diese Art Aktivität nicht überwachen wollen, dann können Sie diese internen Subnetze oder Organisationen aus der Quellzone ausschließen.

Da der IP-Adressen-Feed der Blockliste von ThreatSync+ NDR gepflegt wird, können Sie diese nicht direkt bearbeiten oder ersetzen, aber Sie können Ausnahmen innerhalb der Regel definieren und eine Liste Ihrer eigenen IP-Adressen mit hohem Risiko definieren und dann die IP-Adressen zur Zielzone hinzufügen.

Sie können auch eine separate, ähnliche Regel für Ihre eigene Blockliste erstellen. Weitere Informationen finden Sie unter ThreatSync+ Zonen verwalten.

Aktivität zu Hochrisikoländern

Diese Regel generiert Warnmeldungen für Datenverkehr von internen Geräten an Hochrisikoländer.

Funktionsweise

Diese Regel generiert Warnmeldungen, wenn ThreatSync+ NDR Datenverkehrsaktivität erkennt, die von Ihrem internen Netzwerk ausgeht und an in der Zone Verbotene Länder definierte Länder gerichtet ist.

Die Liste Verbotene Länder beinhaltet eine anfängliche Liste von Ländern, die historisch ein hohes Risiko haben. Dazu gehören China, Russland und andere Länder, die von manchen Regierungen als terrorunterstützende Länder bezeichnet werden.

Anpassung

Die Länder, die für Ihre Umgebung ein hohes Risiko darstellen, können variieren. Bearbeiten Sie die Zone, um der Liste Verbotene Länder weitere Länder hinzuzufügen oder Länder zu löschen.

Diese Zone wird über mehrere Regeln hinweg verwendet. Wenn Ihre Liste der Hochrisikoländer sich also für eingehenden und ausgehenden Datenverkehr unterscheidet, dann können Sie für jeden eine separate Zone erstellen und die Liste der Verbotenen Länder mit den Regeldefinitionen definieren.

Weitere Informationen finden Sie unter ThreatSync+ Zonen verwalten.

Aktivität zu Social Media-Websites

Diese Regel generiert Warnmeldungen, wenn jemand mit einer verbotenen Social Media-Website kommuniziert.

Funktionsweise

Diese Regel generiert Warnmeldungen, wenn ThreatSync+ NDR Datenverkehr erkennt, der von Ihrem internen Netzwerk (der Zone Alle internen Geräte) an in der Zone Social Media-Websites definierte Website-Domänen fließt.

Anpassung

Wenn Ihre Organisation keine Zugriffsbeschränkungen für Social Media-Websites hat, dann empfehlen wir Ihnen, diese Regel zu deaktivieren.

Falls die Liste der Social Media-Websites in der vordefinierten Zone Social Media-Websites nicht Ihrer Liste beschränkter Websites entspricht, dann bearbeiten Sie die Zone so, dass sie der Liste nicht autorisierter Domänen in Ihrer Social Media-Zugriffsregel entspricht. Wir empfehlen Ihnen auch, diese Websites an Ihrer Firewall zu blockieren.

Wenn es Teile Ihres Netzwerks gibt, denen eine Verbindung mit diesen Social Media-Websites gestattet ist, dann schließen Sie diese Subnetze aus der Quellzone aus, damit bei Aktivität von diesen Subnetzen keine Warnmeldungen generiert werden.

Wenn Sie unterschiedliche Social Media-Zugriffsregeln für verschiedene Teile Ihres Netzwerks haben, müssen Sie eventuell mehrere Regeln definieren, um die notwendigen Kombinationen von Subnetzen und Zieldomänen vollständig zu konfigurieren.

Ungewöhnliche Aktivität von Hochrisikoländern

Diese Regel generiert Warnmeldungen, wenn ungewöhnliche Ereignisse mit Kommunikation von Hochrisikoländern eintreten.

Diese Regel unterscheidet sich von der Regel Aktivität von Hochrisikoländern. Zusätzlich zur Überprüfung, dass der Datenverkehr aus diesen Hochrisikoländern stammt, verlangt diese Regel auch, dass in diesem Datenverkehr eine ungewöhnliche Aktivität erkannt wird.

Funktionsweise

ThreatSync+ NDR generiert Warnmeldungen bei ungewöhnlichen Ereignissen, darunter eine ungewöhnliche Dauer der eingehenden Verbindung oder eine hohe Rate eingehender Pakete aus Hochrisikoländern, die in der Zone Verbotene Länder definiert sind.

Anpassung

Sie können der Liste Verbotene Länder weitere Länder hinzufügen oder Länder löschen. Sie können auch Ausnahmen für spezifische falsche Warnmeldungen hinzufügen. Fügen Sie hierzu Datenverkehrsstrom-Richtlinien hinzu, die spezifische IP-Adressen, Länder, Orte oder Domänen ein- oder ausschließen.

Diese Zone wird über mehrere Regeln hinweg verwendet. Wenn die Liste der Hochrisikoländer sich also für eingehende und ausgehende Länder unterscheidet, dann können Sie für jedes eine separate Zone erstellen und die Liste der Hochrisikoländer mit der Regeldefinition definieren.

Ungewöhnliche Aktivität zu Hochrisikoländern

Diese Regel generiert Warnmeldungen, wenn ungewöhnliche Ereignisse bei der Kommunikation an Hochrisikoländer eintreten.

Diese Regel unterscheidet sich von der Regel Aktivität zu Hochrisikoländern. Zusätzlich zur Überprüfung, dass der Datenverkehr an diese Hochrisikoländer geht, verlangt diese Regel auch, dass in diesem Datenverkehr eine ungewöhnliche Aktivität erkannt wird.

Funktionsweise

ThreatSync+ NDR sucht nach ungewöhnlichen Ereignissen, darunter eine ungewöhnliche Dauer der ausgehenden Verbindung und eine hohe Rate ausgehender Pakete aus Hochrisikoländern, die in der Zone Verbotene Länder definiert sind. Warnmeldungen werden bei Erkennen generiert.

Anpassung

Sie können der Liste Verbotene Länder weitere Länder hinzufügen oder Länder löschen. Sie können auch Ausnahmen für spezifische falsche Warnmeldungen hinzufügen. Fügen Sie hierzu Datenverkehrsstrom-Richtlinien hinzu, die spezifische IP-Adressen, Länder, Orte oder Domänen ein- oder ausschließen.

Diese Zone wird über mehrere Regeln hinweg verwendet. Wenn die Liste der Hochrisikoländer sich also für eingehende und ausgehende Länder unterscheidet, dann können Sie für jedes eine separate Zone erstellen und die Liste der Hochrisikoländer mit der Regeldefinition definieren.

Beaconing über die Web-API

Diese Regel generiert Warnmeldungen, wenn eine mögliche automatisierte Beaconing-Aktivität über einen Drittanbieter-Webservice zwischen einer IP-Adresse in Ihrem Netzwerk und einem Remote-Standort eintritt. Dies könnte auf eine nicht autorisierte Command-and-Control-Aktivität hinweisen.

Funktionsweise

Diese Regel generiert Warnmeldungen, wenn ThreatSync+ NDR ein Beacon oder eine Payload in einer Programmdatei oder einem Programm erkennt, die/das über einen HTTPS-fähigen Kommunikationskanal von einer internen Quelle zurück zum Command-and-Control-Server des Angreifers kommuniziert.

Anpassung

Wenn Sie einigen Remote-Standorten erlauben, ethische API-Verbindungen zu externen Sites zu beschaffen, kann selbst dieses autorisierte Verhalten zu Regel-Warnmeldungen führen. Sie können Ausnahmen für spezifische falsche Warnmeldungen hinzufügen. Fügen Sie hierzu eine Datenverkehrsstrom-Richtlinie hinzu, um in Ihrer Umgebung genehmigte Remote-Orte einzubeziehen.

Kommunikation mit verdächtigen AA21-062A IP-Adressen

Diese Regel generiert Warnmeldungen für die Kommunikation einer Reihe von IP-Adressen, von denen bekannt ist, dass Sie von Angreifern für Log4J-Angriffe genutzt werden. Obwohl diese mit virtuellen privaten Servern (VPSs) und virtuellen privaten Netzwerken (VPNs) verbunden sind, sollten Antwortgeber diese IP-Adressen in ihren Netzwerken untersuchen.

Funktionsweise

Diese Regel generiert Warnmeldungen, wenn ThreatSync+ NDR eine eingehende Verbindung zu einem nicht gepatchten Microsoft-Austausch von verdächtigen AA21-062A-IP-Adressen zur Ausnutzung von RCE-Schwachstellen CVE-2021-26857, CVE-2021-26858 oder CVE-2021-27065 erkennt, die eine Remote-Codeausführung zulassen.

Anpassung

Diese Regel kann nicht individuell angepasst werden, da die verdächtigen AA21-062A-IP-Adressen zertifizierte bösartige IP-Adressen sind.

Hohes Volumen an Datentauschbörsen erkennen

Diese Regel generiert Warnmeldungen, wenn eine große Datenmenge zu einer Internet-Tauschbörse hochgeladen wird.

Funktionsweise

Diese Regel generiert Warnmeldungen, wenn innerhalb von 30 Minuten mehr als 40 k Bytes zur Domäne einer in der Zielzone aufgeführten Internet-Tauschbörse hochgeladen werden. Dies kann darauf hinweisen, dass nicht autorisierte Daten von nicht autorisierten Angreifern oder Insider-Bedrohungen zu einer öffentlichen Internet-Tauschbörse exfiltriert werden.

Anpassung

Diese Regel dient zur Verhinderung von Datenverlusten und Überwachung von Exfiltration. Sie können weitere Internet-Tauschbörsen zur Zielzone der Regel hinzufügen oder daraus löschen.

Sie können den Schwellenwert für das Datenvolumen in der Auslösungskonfiguration der Regel erhöhen, wenn Sie die Sensibilität ändern möchten.

Interner LLMNR-Datenverkehr

Diese Regel generiert Warnmeldungen, wenn Link-Local Multicast Name Resolution-Datenverkehr (LLMNR) (auf Port 5355 UDP) zwischen zwei internen Endpoints fließt. Dies ist eine unnötige oder unerwartete Port-Aktivität, die blockiert werden sollte, um Ransomware-Angriffe zu verhindern.

Funktionsweise

Diese Regel hilft, LLMNR-Poison-Angriffe zu identifizieren und generiert Warnmeldungen, wenn ThreatSync+ NDR internen Datenverkehr größer als 1 Byte an UDP Port 5355 erkennt. Bei LLMNR-Poison-Angriffen ist der Datenverkehr vom Client zum Angreifergerät erwartungsgemäß größer als 1 Byte.

LLMNR ist der Nachfolger von NetBIOS. NetBIOS (Network Basic Input/Output System) ist ein älteres Protokoll, das in frühen Versionen von Windows-Netzwerken verwendet wurde. NBT-NS ist eine Komponente von NetBIOS over TCP/IP (NBT) und ist für die Namensregistrierung und -auflösung verantwortlich. Ähnlich wie LLMNR handelt es sich bei NBT-NS um ein Ersatz-Protokoll, wenn die DNS-Auflösung fehlschlägt. Es erlaubt eine lokale Namensauflösung innerhalb eines LAN. Wenn Sie diese Funktion in einem Active Directory-Umfeld also deaktivieren, mindert dies die Warnmeldungen. Wenn jedoch eine Anwendung autorisiert ist, die LLMNR-Ports zu nutzen, können Sie diese autorisierten Anwendungsserver von der Zielzone ausschließen.

Anpassung

Wird eine Anwendung autorisiert, LLMNR-Ports zu nutzen, sollten Sie diese autorisierten Anwendungsserver von der Zielzone ausschließen.

Interner mDNS-Datenverkehr

Diese Regel generiert Warnmeldungen, wenn Multicast Domain Name-Dienst-Datenverkehr (mDNS) (Port 5353 UDP) zwischen zwei internen Endpoints erkannt wird. Dies ist eine unnötige oder unerwartete Port-Aktivität, die blockiert werden sollte, um Ransomware-Angriffe zu verhindern.

Funktionsweise

Diese Regel hilft, mDNS-Poison-Angriffe zu identifizieren und generiert Warnmeldungen, wenn ThreatSync+ NDR internen Datenverkehr größer als 1 Byte an UDP Port 5353 erkennt. Bei mDNS-Poison-Angriffen ist der Datenverkehr vom Client zum Angreifergerät erwartungsgemäß größer als 1 Byte.

Anpassung

Es gibt keine empfohlenen Anpassungsmaßnahmen für diese Regel.

Interner WUDO-Datenverkehr

Diese Regel erkennt Windows Update Delivery Optimization-Datenverkehr (WUDO) zwischen Geräten in Ihrem Netzwerk. WUDO ist das Protokoll, das Microsoft verwendet, um das Windows Betriebssystem von Peer-Computern zu aktualisieren.

Funktionsweise

Microsoft Windows nutzt das WUDO-Protokoll, um den Betriebssystem-Update-Prozess an Peer-Windows-Geräte zu verteilen, was es ermöglicht, Updates über ein nicht gesteuertes Peer-to-Peer-Netzwerk zu verteilen.

Wenn Sie Updates des Betriebssystems über ein Enterprise-Verteilungstool steuern, dann bietet WUDO Benutzern eine unregulierte Möglichkeit, nicht autorisierte, nicht getestete oder gar bösartige Updates zu installieren.

Diese Regel generiert Warnmeldungen, wenn ThreatSync+ NDR Aktivität zwischen Geräten innerhalb Ihres privaten Netzwerks an Port 7680 erkennt. Die Regel ist so konfiguriert, dass sie bei jedem 7680-Datenverkehr Warnmeldungen generiert. Wenn WUDO für die Nutzung in Ihrem Netzwerk autorisiert ist, werden also oft Warnmeldungen generiert.

Anpassung

Die Regel ist standardmäßig aktiviert, da wir empfehlen, WUDO in Ihrem Unternehmen nicht zu nutzen. Falls Sie WUDO als eine autorisierte Methode zur Verteilung von Windows-Software nutzen, dann deaktivieren Sie diese Regel.

Falls Sie WUDO auf spezifischen Netzwerken, beispielsweise isolierten Gastnetzwerken oder spezifischen Bereichen der Organisation, zulassen, dann können Sie die Quell- und Zielzonen anpassen, um die autorisierten Subnetze auszuschließen.

LLMNR-Datenverkehr über Netzwerkgrenzen hinweg

Diese Regel generiert Warnmeldungen für Link-Local Multicast Name Resolution (LLMNR)-Datenverkehr (Port 5355 UDP), der Netzwerkgrenzen überschreitet. Dies ist eine unnötige oder unerwartete Aktivität, die blockiert werden sollte, um Ransomware-Angriffe zu verhindern.

Funktionsweise

Diese Regel generiert Warnmeldungen, wenn ThreatSync+ NDR Datenverkehr von einer internen Quelle an Port 5355 erkennt, der das Kantennetzwerk verlässt oder umgeht.

LLMNR (Link-Local Multicast Name Resolution)-Datenverkehr sollte nicht gestattet sein, ein Unternehmensnetzwerk zu verlassen. LLMNR ist ein Protokoll, das es Hosts erlaubt, Namen für andere Hosts im selben lokalen Netzwerk aufzulösen. Es läuft über UDP an Port 5355.

LLMNR ist gegenüber Angriffen anfällig, weil es keinen Authentifizierungsmechanismus hat, sodass jeder auf eine LLMNR-Anfrage antworten kann. Zu den Angriffen, die mittels LLMNR durchgeführt werden können, gehören:

• Namenskollisionsangriffe
• LLMNR-Poisoning

Anpassung

LLMNR ist der Nachfolger von NetBIOS. NetBIOS (Network Basic Input/Output System) ist ein älteres Protokoll, das in frühen Versionen von Windows-Netzwerken verwendet wurde. NBT-NS ist eine Komponente von NetBIOS over TCP/IP (NBT) und ist für die Namensregistrierung und -auflösung verantwortlich. Ähnlich wie LLMNR handelt es sich bei NBT-NS um ein Ersatz-Protokoll, wenn die DNS-Auflösung fehlschlägt. Es erlaubt eine lokale Namensauflösung innerhalb eines LAN. Wenn Sie diese Funktion in einem Active Directory-Umfeld also deaktivieren, mindert dies die Warnmeldungen. Wenn jedoch einer Anwendung empfohlen wird, die LLMNR-Ports zu nutzen, können Sie diese autorisierten Anwendungsserver von der Zielzone ausschließen.

NetBIOS-NS-Datenverkehr über Netzwerkgrenzen hinweg

Diese Regel generiert Warnmeldungen, wenn NetBIOS-NS-Datenverkehr (Port 137 UDP) erkannt wird, der die Netzwerkgrenze überschreitet. Dies ist eine unnötige oder unerwartete Port-Aktivität und sollte blockiert werden, um Ransomware-Angriffe zu verhindern.

Funktionsweise

Diese Regel erhält eine Warnmeldung, wenn ThreatSync+ NDR-Datenverkehr vom internen Host an das externe Netzwerk an Port 137 erkennt. Ähnlich wie bei einem LLMNR-Poison-Angriff wird NTB-NS ohne eine angemessene Antwort vom DNS-Server verwendet. Dies bedeutet, dass versucht wird, eine Antwort im lokalen Netzwerk zu finden. Dies geschieht normalerweise, wenn der Benutzer bei der Suche nach einer Netzwerkressource einen Tippfehler macht, sich nicht im richtigen Netzwerk befindet, einen DNS-Server nicht konfiguriert hat oder beispielsweise vergessen hat, das VPN zu verbinden und die gewünschte Netzwerkressource nicht erreichen kann.

In diesem Fall kann der Angreifer, wenn er die IP-Adresse der Netzwerkressource kennt, dem Client als Antwort eine andere IP-Adresse senden. Diese IP-Adresse kommt an einem vom Angreifer gehosteten Server an.

Anpassung

NetBIOS. NetBIOS (Network Basic Input/Output System) ist ein älteres Protokoll, das in frühen Versionen von Windows-Netzwerken verwendet wurde. NBT-NS ist eine Komponente von NetBIOS over TCP/IP (NBT) und ist für die Namensregistrierung und -auflösung verantwortlich. Ähnlich wie LLMNR handelt es sich bei NBT-NS um ein Ersatz-Protokoll, wenn die DNS-Auflösung fehlschlägt. Es erlaubt eine lokale Namensauflösung innerhalb eines LAN. Wenn Sie diese Funktion in einem Active Directory-Umfeld also deaktivieren, mindert dies die Warnmeldungen. Wenn jedoch einer Anwendung empfohlen wird, die NBT-NS-Ports zu nutzen, können Sie diese autorisierten Sites von der Zielzone ausschließen.

RDP-Versuche von Extern an Intern

Diese Regel generiert Warnmeldungen, wenn von einer externen IP-Adresse versucht wird, Remote Desktop Protocol(RDP)-Sitzungen in Ihrem Netzwerk einzurichten, dies aber fehlschlägt.

Funktionsweise

RDP-Datenverkehr in Ihr Netzwerk sollte auf eine kleine Gruppe von Eintrittspunkten beschränkt werden, um den unternehmensexternen Zugriff zu kontrollieren und zu überwachen. Diese Regel generiert eine Warnmeldung, wenn fehlgeschlagene RDP-Sitzungen, die zu kurz sind, um anzuzeigen, dass die Authentifizierung erfolgreich war, von einer externen Netzwerkquelle erkannt werden.

Diese Regel ist ursprünglich so konfiguriert, dass sie bei jeder fehlgeschlagenen RDP-Verbindung eine Warnmeldung generiert. Dies ist für Organisationen, die keine RDP-Verbindungen in das Unternehmen zulassen, angemessen.

Anpassung

Wenn Sie zulassen, dass RDP-Datenverkehr über eine spezifische Gruppe von Servern in Ihrer Demilitarisierten Zone (DMZ) in Ihr Netzwerk eintritt, dann schließen Sie diese Server von der Zielzone aus. Nutzen Sie diese Regel, um zu identifizieren, wenn nicht autorisierte RDP-Server zugänglich sind.

RDP-Verbindung von neuem externen Host

Diese Regel generiert Warnmeldungen für eingehende RDP-Verbindungen aus dem Internet, wenn die externe Quell-IP-Adresse sich erstmalig mit einer internen IP-Adresse verbindet.

Funktionsweise

Wenn eingehende RDP-Verbindungen zugelassen sind, dann gibt es normalerweise eine begrenzte und bekannte Reihe von Benutzern, die sich aktiv verbinden. Diese Regel informiert Sie, wenn neue Standorte eine Verbindung herstellen, sodass Sie sehen, wenn neue RDP-Benutzer sich verbinden.

Anpassung

Wenn Sie für diese Regel zu viele Warnmeldungen erhalten, weil die externen Domänen oder Internet-Service-Provider ständig ihre IP-Adressen wechseln, dann können Sie die Regel anpassen, um eine der anderen ungewöhnlichen Ereignisse anstatt der Verbindung von neuer IP zu nutzen, beispielsweise Verbindung von neuer Domäne, Verbindung von neuer Organisation oder Verbindung von neuem Ort.

Sie können auch spezifische Domänen, Organisationen oder Länder aus der Quellzone ausschließen, sodass sie keine Warnmeldungen aus diesen Bereichen generieren.

RDP von Extern an Intern

Diese Regel generiert Warnmeldungen für eingehende RDP-Verbindungen von einer externen IP-Adresse.

Diese Regel unterscheidet sich von der Regel RDP-Versuche von Extern an Intern, da sie nur Warnmeldungen generiert, wenn bei der Sitzung ausreichend Aktivität erkannt wird, um darauf hinzudeuten, dass der Benutzer sich erfolgreich verbunden und falsche Zugangsdaten eingegeben hat.

Funktionsweise

RDP-Datenverkehr in Ihr Netzwerk sollte auf eine kleine Gruppe von Eintrittspunkten beschränkt werden, um den unternehmensexternen Zugriff zu kontrollieren und zu überwachen. Diese Regel generiert Warnmeldungen, wenn ThreatSync+ NDR eine RDP-Sitzung mit über 5 KB Daten von einer externen Netzwerkquelle erkennt.

Anpassung

Wenn Sie zulassen, dass RDP-Datenverkehr über eine spezifische Gruppe von Servern in Ihrer Demilitarisierten Zone (DMZ) in Ihr Netzwerk eintritt, dann schließen Sie diese Server von der Zielzone aus. Nutzen Sie diese Regel, um zu identifizieren, wenn nicht autorisierte RDP-Server zugänglich sind.

SSH-Versuche von Extern an Intern

Diese Regel generiert Warnmeldungen, wenn von einer externen IP-Adresse versucht wird, fehlgeschlagene SSH-Sitzungen in Ihrem Netzwerk einzurichten.

Funktionsweise

Autorisierter SSH-Datenverkehr in Ihr Netzwerk ist selten und sollte auf eine kleine Gruppe von Eintrittspunkten beschränkt werden, um den unternehmensexternen Zugriff zu kontrollieren und zu überwachen. Diese Regel generiert Warnmeldungen, wenn ThreatSync+ NDR eine SSH-Sitzung von einer externen Netzwerkquelle erkennt.

Diese Regel ist ursprünglich so konfiguriert, dass sie bei jeder SSH-Verbindung eine Warnmeldung generiert. Dies ist für Organisationen, die keine SSH-Verbindungen in das Unternehmen zulassen, angemessen.

Anpassung

Wenn Sie zulassen, dass SSH über eine spezifische Gruppe von Servern in Ihrer Demilitarisierten Zone (DMZ) in Ihr Netzwerk eintritt, dann schließen Sie diese Server von der Zielzone aus. Nutzen Sie diese Regel, um zu identifizieren, wenn nicht autorisierte SSH-Server zugänglich sind.

Vermutete Datenexfiltration über DNS

Diese Regel generiert eine Warnmeldung, wenn ein ungewöhnlich hohes Volumen von Datenverkehr mittels des DNS-Protokolls von internen Endpoints an externe Standorte geht. Dies könnte ein Hinweis auf Datenexfiltration mittels DNS-Tunneling sein, eine häufige, mit Ransomware in Verbindung stehende Command-and-Control-Aktivität.

Funktionsweise

ThreatSync+ NDR überwacht den DNS-Datenverkehr, um Sitzungen zu identifizieren, deren Payloads größer als erwartet sind, und generiert eine Warnmeldung, wenn es einen DNS-Tunnel zwischen einer internen und externen IP-Adresse erkennt.

Anpassung

Es ist möglich, dass normale DNS-Aktivität gelegentlich die bei dieser Erkennung verwendeten Grenzen überschreitet. Um dies anzugehen, ist das Ziel dieser Regel als eine externe IP-Adresse definiert, die kein Mitglied eines bekannten DNS-Dienstes ist.

Wenn Sie häufige, seriöse DNS-Dienste haben, die in dieser Zielzone nicht enthalten sind, dann können Sie die Zone bearbeiten, um Ihre zusätzlichen externen DNS-Dienstdomänen einzubeziehen.

Unerwarteter DNS-Auflösungsserver

Diese Regel generiert Warnmeldungen, wenn Datenverkehr von internen Endpoints zu unerwarteten externen DNS-Auflösungsservern gelangt. Dies könnte darauf hinweisen, dass das DNS-Protokoll für mit Ransomware in Verbindung stehende Command-and-Control-Aktivitäten verwendet wird.

Funktionsweise

Diese Regel generiert Warnmeldungen, wenn DNS-Datenverkehr (Port 53) eine Verbindung zu einer neuen Domäne herstellt, an die noch nie Datenverkehr gesendet wurde.

Dies ist eine leistungsstarke Regel, da sie sich selbst weiterentwickelt. Sie wird für jede neue Domäne nur einmal ausgelöst. Achten Sie also darauf, die Domäne an Ihrer Firewall zu blockieren, falls sie nicht autorisiert ist.

Anpassung

Die einzige individuelle Anpassung, die Sie für diese Regel vornehmen könnten, ist es, interne Subnetze in Ihrer Quellzone, für die Sie keine Warnmeldungen erhalten möchten, auszuschließen. Beispielsweise ein Gastnetzwerk.

Ungesicherter eingehender FTP/TFTP-Datenverkehr

Diese Regel generiert Warnmeldungen, wenn FTP- oder TFTP-Datenverkehr von externen Quellen zu internen Geräten fließt. Wenn Sie zulassen, dass Aktivität von unverschlüsselten Anwendungs-Ports über das Internet in Ihr Unternehmen eingeht, dann kann dies Ihre Organisation dem Risiko von Angriffen wie Ransomware aussetzen.

Funktionsweise

Diese Regel generiert Warnmeldungen, wenn zweiseitige Konversationen unter Verwendung von FTP-Datenverkehr an Port 21 oder von TFTP-Datenverkehr an Port 69 in das interne Netzwerk eintreten.

Weil es sich bei FTP und TFTP um unverschlüsselte Protokolle handelt, sollte der Zugriff auf Ihr Netzwerk über diese Protokolle streng kontrolliert werden. Wenn Sie den FTP-Datenverkehr nicht zu einem anderen verschlüsselten Protokoll verlegen oder in ein verschlüsseltes VPN einbetten können, dann ist es wichtig, die Eintrittspunkte für diese Daten zu kontrollieren.

Anpassung

Wenn Sie die Verwendung von FTP oder TFTP benötigen, dann sollten Sie die begrenzte Anzahl an Jump-Servern in Ihrer DMZ identifizieren, die autorisiert sind, FTP- oder TFTP-Verbindungen zu akzeptieren, und Ausnahmen für diese Server in dieser Regel erstellen.

Fügen Sie diese Ausschlüsse zur Zielzone in der Regel hinzu.

Ungesicherter eingehender IRC-Datenverkehr

Diese Regel generiert Warnmeldungen, wenn IRC-Datenverkehr von externen Quellen zu internen Geräten fließt. Wenn Sie zulassen, dass Aktivität von unverschlüsselten Anwendungs-Ports über das Internet in Ihr Unternehmen eingeht, dann kann dies Ihre Organisation dem Risiko von Angriffen wie Ransomware aussetzen.

Funktionsweise

Diese Regel generiert Warnmeldungen, wenn zweiseitige Konversationen unter Verwendung von IRC in das interne Netzwerk eintreten.

Weil es sich bei IRC um unverschlüsselte Protokolle handelt, sollte der Zugriff auf Ihr Netzwerk über diese Protokolle streng kontrolliert werden. Wenn Sie den IRC-Datenverkehr nicht zu einem anderen verschlüsselten Protokoll verlegen oder in ein verschlüsseltes VPN einbetten können, dann ist es wichtig, die Eintrittspunkte für diese Daten zu kontrollieren.

Anpassung

Wenn Sie die Verwendung von IRC benötigen, dann sollten Sie die begrenzte Anzahl an Jump-Servern in Ihrer DMZ identifizieren, die autorisiert sind, IRC-Verbindungen zu akzeptieren, und Ausnahmen für diese Server in dieser Regel erstellen.

Fügen Sie diese Ausschlüsse zur Zielzone in der Regel hinzu.

Ungesicherter eingehender Telnet-Datenverkehr

Diese Regel generiert Warnmeldungen, wenn Telnet-Datenverkehr (Port 23 TCP) von externen Quellen zu internen Geräten fließt. Wenn Sie zulassen, dass Aktivität von unverschlüsselten Anwendungs-Ports über das Internet in Ihr Unternehmen eingeht, dann kann dies Ihre Organisation dem Risiko von Angriffen wie Ransomware aussetzen.

Funktionsweise

Diese Regel generiert Warnmeldungen, wenn zweiseitige Konversationen unter Verwendung von Telnet in das interne Netzwerk eintreten.

Weil es sich bei Telnet um unverschlüsselte Protokolle handelt, sollte der Zugriff auf Ihr Netzwerk über diese Protokolle streng kontrolliert werden. Wenn Sie den Telnet-Datenverkehr nicht zu einem anderen verschlüsselten Protokoll wie SSH verlegen oder in ein verschlüsseltes VPN einbetten können, dann ist es wichtig, die Eintrittspunkte für diese Daten zu kontrollieren.

Anpassung

Wenn Sie die Verwendung von Telnet benötigen, dann sollten Sie die begrenzte Anzahl an Jump-Servern in Ihrer DMZ identifizieren, die autorisiert sind, Telnet-Verbindungen zu akzeptieren, und Ausnahmen für diese Server in dieser Regel erstellen.

Fügen Sie diese Ausschlüsse zur Zielzone in der Regel hinzu.

Ungesicherte eingehende Webserver-Aktivität

Diese Regel generiert Warnmeldungen, wenn ungesicherter HTTP-Webserver-Datenverkehr (Port 80 TCP) von externen Quellen zu internen Geräten fließt. Wenn Sie zulassen, dass Aktivität von unverschlüsselten Anwendungs-Ports über das Internet in Ihr Unternehmen eingeht, dann kann dies Ihre Organisation dem Risiko von Angriffen wie Ransomware aussetzen.

Funktionsweise

Diese Regel generiert Warnmeldungen, wenn zweiseitige Konversationen unter Verwendung von HTTP in das interne Netzwerk eintreten.

Weil es sich bei HTTP um unverschlüsselte Protokolle handelt, sollte der Zugriff auf Ihr Netzwerk über diese Protokolle streng kontrolliert werden. Wenn Sie den HTTP-Datenverkehr nicht zu einem anderen verschlüsselten Protokoll wie HTTPS verlegen oder in ein verschlüsseltes VPN einbetten können, dann ist es wichtig, die Eintrittspunkte für diese Daten zu kontrollieren.

Anpassung

Wenn Sie die Verwendung von HTTP benötigen, dann sollten Sie die begrenzte Anzahl an Jump-Servern in Ihrer DMZ identifizieren, die autorisiert sind, HTTP-Verbindungen zu akzeptieren, und Ausnahmen für diese Server in dieser Regel erstellen.

Fügen Sie diese Ausschlüsse zur Zielzone in der Regel hinzu.

Ungesicherter interner Telnet-Datenverkehr

Diese Regel generiert Warnmeldungen, wenn Telnet-Datenverkehr (Port 23 TCP) zwischen internen Geräten fließt. Wenn Sie zulassen, dass Aktivität von unverschlüsselten Anwendungs-Ports über das Internet in Ihr Unternehmen eingeht, dann kann dies Ihre Organisation dem Risiko von Angriffen wie Ransomware aussetzen.

Funktionsweise

Diese Regel generiert Warnmeldungen, wenn zweiseitige Konversationen unter Verwendung von Telnet in das interne Netzwerk eintreten.

Weil es sich bei Telnet um ein unverschlüsseltes Protokoll handelt, sollte dessen Nutzung streng kontrolliert werden. Wenn Sie den Telnet-Datenverkehr nicht zu einem anderen verschlüsselten Protokoll wie SSH verlegen oder in ein verschlüsseltes VPN einbetten können, dann ist es wichtig, dessen Nutzung streng zu überwachen.

Anpassung

Wenn Sie die Verwendung von Telnet benötigen, dann sollten Sie die begrenzte Anzahl an Servern in Ihrem Netzwerk identifizieren, die autorisiert sind, Telnet-Verbindungen zu akzeptieren, und Ausnahmen für diese Server in dieser Regel erstellen.

Fügen Sie diese Ausschlüsse zur Zielzone in der Regel hinzu.

WUDO-Datenverkehr über Netzwerkgrenzen hinweg

Diese Regel generiert Warnmeldungen, wenn Windows Update Delivery Optimization(WUDO)-Datenverkehr zwischen Geräten innerhalb Ihres Netzwerks und dem öffentlichen Internet fließt. Diese Regel konzentriert sich auf ausgehenden WUDO-Datenverkehr.

Microsoft Windows nutzt das WUDO-Protokoll, um den Betriebssystem-Update-Prozess an Windows-Geräte zu verteilen, was es ermöglicht, Updates über ein nicht gesteuertes Peer-to-Peer-Netzwerk zu verteilen.

Wenn Sie Updates des Betriebssystems über ein Enterprise-Verteilungstool steuern, dann bietet WUDO Benutzern die Möglichkeit, nicht autorisierte, nicht getestete oder gar bösartige Updates zu installieren.

Funktionsweise

Diese Regel generiert Warnmeldungen, wenn ThreatSync+ NDR Aktivität von Geräten innerhalb Ihres privaten Netzwerks zu öffentlichen IP-Adressen im Internet an Port 7680 erkennt.

Selbst wenn Sie zulassen, dass Benutzer WUDO innerhalb Ihrer Organisation nutzen, möchten Sie eventuell doch nicht, dass sie es extern nutzen, um Updates von nicht vertrauenswürdigen Orten im Internet zu installieren.

Anpassung

Die Regel ist so konfiguriert, dass sie bei jedem 7680-Datenverkehr Warnmeldungen generiert. Wenn WUDO für die Nutzung in Ihrem Netzwerk autorisiert ist, werden also oft Warnmeldungen generiert.

Die Regel ist standardmäßig aktiviert, da wir empfehlen, externe WUDO-Updates in Ihrem Unternehmen nicht zu nutzen. Wir empfehlen Ihnen, sich auf Ihren Softwareverteilungsdienst zu verlassen, um zu kontrollieren, welche Update-Installationen zulässig sind.

Wenn Sie jedoch externes WUDO als eine autorisierte Methode zur Verteilung von Windows Betriebssystem-Software zulassen, dann sollten Sie diese Regel deaktivieren.

Falls Sie externe WUDO auf spezifischen Netzwerken, beispielsweise isolierten Gastnetzwerken oder spezifischen Bereichen der Organisation, zulassen, können Sie die Zielzone anpassen, um diese autorisierten Subnetze auszuschließen.

Wenn Sie zulassen, dass WUDO für eine begrenzte Zahl externer Domänen genutzt wird, dann können Sie diese Domänen in der Zielzone konfigurieren.

Ähnliche Themen

ThreatSync+ Regeln konfigurieren

Regel-Feinabstimmung (Policy Tuning)

ThreatSync+ Zonen verwalten

Cybersecurity and Infrastructure Security Agency