Wie man die Triage bei der Reaktion auf einen Vorfall richtig durchführt

Die Triage ist der erste Schritt im Reaktionsprozess nach der Erkennung eines Vorfalls, den jeder Einsatzmitarbeiter durchführt, um einen Vorfall oder einen Fehlalarm zu melden. Ein effizienter und präziser Triageprozess reduziert die Belastung der Analysten, verkürzt die Reaktions- und Behebungszeit von Vorfällen und stellt sicher, dass nur berechtigte Warnmeldungen den Status “Untersuchung oder Vorfall” erhalten.

Jeder Schritt der Triage muss dringend erfolgen, denn in einer Krise zählt jede Sekunde. Die Einsatzkräfte stehen jedoch vor der großen Herausforderung, eine unübersichtliche Informationsquelle auf wenige relevante Ereignisse zu reduzieren. Hier einige Vorschläge zur Beschleunigung der Analyse vor der Datenvalidierung:

• Organisation: Reduzieren Sie redundante Analysen, indem Sie einen Workflow entwickeln, der Aufgaben den zuständigen Mitarbeitern zuweist. Vermeiden Sie die gemeinsame Nutzung eines E-Mail-Postfachs oder E-Mail-Alias durch mehrere Mitarbeiter. Nutzen Sie stattdessen ein Workflow-Tool, wie es beispielsweise in SOAR-Lösungen (Security Orchestration, Automation and Response) verwendet wird, um Aufgaben zuzuweisen. Implementieren Sie einen Prozess zur Neuzuweisung oder Ablehnung von Aufgaben, die nicht in den Zuständigkeitsbereich der Triage fallen.
• Korrelation: Nutzen Sie ein Tool wie ein SIEM-System (Security Information and Event Management), um ähnliche Ereignisse zusammenzufassen. Verknüpfen Sie potenziell zusammenhängende Ereignisse zu einem einzigen, aussagekräftigen Ereignis.
• Datenanreicherung: Automatisieren Sie häufige Abfragen, die Ihre Einsatzkräfte täglich durchführen, wie z. B. Reverse-DNS-Lookups, Abfragen von Bedrohungsdaten und IP-/Domain-Mapping. Fügen Sie diese Daten dem Ereignisdatensatz hinzu oder stellen Sie sie leicht zugänglich bereit.

Um die erste Phase der Vorfallsbeurteilung schnellstmöglich zu bewältigen, ist ein zügiges Vorgehen wichtig. Für die Verifizierung des Ereignisses ist jedoch ein detaillierteres und überlegteres Vorgehen erforderlich. Entscheidend ist, dass Sie Ihrem Security Operations Center (SOC) oder Ihrem Cyber Incident Response Team (CIRT) einen überzeugenden Fall präsentieren, der von den Analysten präzise bewertet werden kann. Hier einige Tipps für die Verifizierung:

• Angrenzende Daten: Prüfen Sie die Informationen neben dem Ereignis. Wenn beispielsweise ein Endpunkt eine Virensignaturübereinstimmung aufweist, prüfen Sie, ob Anzeichen dafür vorliegen, dass der Virus aktiv ist, bevor Sie weitere Reaktionsmetriken anfordern.
• Geheimdienstbericht: Man muss den Kontext der Informationen verstehen. Nur weil eine IP-Adresse letzte Woche als Teil eines Botnetzes gekennzeichnet wurde, heißt das nicht, dass sie heute noch Teil eines Botnetzes ist.
• Erste Priorität: Richten Sie sich nach den Prioritäten der Einsatzmaßnahmen und klassifizieren Sie Vorfälle entsprechend. Stellen Sie sicher, dass jedem Vorfall der angemessene Aufwand gewidmet wird.
• Kreuzanalyse: Um eine bessere Datengenauigkeit zu erzielen, sollten Sie in verschiedenen Datenquellen nach potenziell gemeinsam genutzten Schlüsseln wie IP-Adressen oder Domainnamen suchen und diese analysieren.

Sobald ein Ereignis verifiziert ist, wird es zu einer Untersuchung oder einem Vorfall. Alle Vorfälle müssen dann von Ihren SOC- oder CIRT-Teams gemäß Ihrem Untersuchungsprozess untersucht und nachverfolgt werden.

Die SOAR-Plattform von Swimlane automatisiert den Großteil des Triage-Prozesses bei Sicherheitsvorfällen, einschließlich der Zuweisung von Workflow-Aufgaben und der Datenanreicherung. So erhält Ihr Team den nötigen Kontext für weiterführende Analysen. Auch zusätzliche Schritte im Incident-Response-Prozess, wie die Suche nach Bedrohungsdaten und die Behebung von Sicherheitsvorfällen, lassen sich automatisieren. Mit SOAR steigern Sie die Effizienz Ihrer Sicherheitsmaßnahmen deutlich, reduzieren Risiken und erhöhen den Schutz vor Bedrohungen.

Möchten Sie die automatisierte Priorisierung von Vorfällen in Aktion sehen? Schauen Sie sich unseren kurzen Beitrag an. Video.
Sind Sie bereit für einen detaillierten Einblick in die Vorteile der Automatisierung Ihrer Triage- und umfassenderen Incident-Response-Prozesse? Vereinbaren Sie eine personalisierte Demo mit Swimlane und entdecken Sie Sicherheitslösungen “Von Analysten für Analysten”.

*Adaptiert von einem bestehenden Syncurity Blogbeitrag.

Demo zur Automatisierung der Splunk-Alert-Triage (4:11)

Dieses Anwendungsfallvideo demonstriert die automatisierte Priorisierung von Sicherheitswarnungen, die von Splunk empfangen werden. In dieser Demonstration werden die Daten von Splunk erfasst, mit VirusTotal angereichert und anschließend über eine Symantec Endpoint Protection-Integration bei Verdacht auf Schadsoftware aktiviert.

Jetzt ansehen