AD-Sicherheit: Angriffsspuren analysieren

Für das Erkennen von Angriffen ist der sicherheitsrelevante Teil des Windows-Ereignisprotokolls, das Windows-Sicherheitsereignisprotokoll der Windows Domain Controller (DC), eine reichhaltige Informationsquelle. In ihm hält jeder Domänencontroller unter anderem erfolgreiche und fehlgeschlagene Anmeldeversuche fest. Große Unternehmen leiten solche Protokollereignisse an ein SIEM-System (Security Information and Event Management) weiter [1]. Es sammelt sicherheitsrelevante Protokolle zentral, schützt sie vor unautorisierten Änderungen und erlaubt die effiziente Suche in den Ereignissen sowie deren Auswertung. Mit gezielten Abfragen wird in den gesammelten Daten nach unerwünschtem Verhalten gesucht.

Diese Suchabfragen sind vergleichbar mit einem SQL SELECT für die Abfrage von Daten aus einer relationalen Datenbank. Eine solche Abfrage kann beispielsweise die Suche nach erfolglosen Anmeldeversuchen mit unterschiedlichen Nutzerkonten sein, die alle vom selben Gerät stammen. Das weist auf ein potenziell infiziertes Gerät hin, das dazu genutzt wird, sich unerlaubten Zugang zu Nutzerkonten zu verschaffen, zum Beispiel mit einem Password-Spraying-Angriff [2]. Unternehmen, die eine proaktive und fortlaufende Suche nach Angriffen anstreben, werden solche und andere Angriffsmuster mit Suchabfragen beschreiben und als Alarm im SIEM einrichten. Findet das SIEM während der Verarbeitung von Protokolldaten eine Übereinstimmung, löst es Alarm aus.