Was ist Detection Engineering?
Bedrohungsakteure entwickeln ihre Angriffe und Techniken immer weiter. Daher müssen auch die Sicherheitsteams ihre Erkennungsmaßnahmen weiterentwickeln. Dieser zyklische Prozess wird als Detection Engineering bezeichnet und erfordert kontinuierliche Anstrengungen. Gutes Detection Engineering kann die Zeit bis zur Erkennung und Abwehr von Bedrohungen verkürzen sowie die anschließende Wiederherstellung beschleunigen.
Beim Detection Engineering werden Bedrohungen identifiziert, bevor diese erheblichen Schaden anrichten können. Dazu müssen eine Kultur und ein Prozess geschaffen werden, die die optimale Definition, Weiterentwicklung und Optimierung von Erkennungen ermöglichen, damit aktuelle Angriffe abgewehrt werden können. Dabei arbeiten Content-Entwickler, Threat Hunter, Bedrohungsanalysten, Red Teams, Risikomanager usw. jederzeit zusammen, um ein bedrohungsbasiertes Abwehrsystem aufzubauen.
Der umfassende Leitfaden zu Next‑Gen SIEM
Erfahren Sie, wie Sie Ihr SOC mit SIEM-Lösungen der nächsten Generation modernisieren. Entdecken Sie die wichtigsten Funktionen und Vorteile des fortschrittlichen Sicherheitsinformations- und Ereignismanagements.
Laden Sie den vollständigen Leitfaden zu NG-SIEM herunterZiel der Erkennung
Detection Engineering beginnt mit der Bedrohungsmodellierung, d. h. mit der Identifizierung der für Ihr Unternehmen relevanten Bedrohungen. Sie können das MITRE ATT@CK-Framework nutzen und eine Lückenanalyse durchführen, um zu erkennen, was relevant ist. Am Anfang müssen jedoch immer die folgenden Fragen beantwortet werden:
- Was müssen wir erkennen?
- Welche Bedrohungsakteure, Techniken, Tools usw. sind für uns relevant?
- Wie können wir die Relevanz für unser Unternehmen demonstrieren?
Die Antworten auf diese Fragen können Ihnen helfen, eine Formel für die Bedrohungen aufzustellen, um die sich Ihr Unternehmen kümmern sollte.
Anforderungen an die Erkennung
Wenn Sie die oben genannten Fragen beantwortet haben, identifizieren Sie verfügbare Protokollquellen und bestimmen, welche für die Erkennung der von Ihnen identifizierten Bedrohungen benötigten Protokolle oder Datenquellen Ihnen fehlen. Als Nächstes ermitteln Sie Anwendungsszenarien und lesen Schwachstellenberichte, um festzustellen, wo sich Lücken in Ihrer Abwehr befinden. Gehen Sie dabei sorgfältig vor. Untersuchen Sie die relevanten Bedrohungen und stellen Sie dazu Hypothesen auf. An diesem Punkt können Sie damit beginnen, Ihren Erkennungs-Content zu definieren.
In dieser Phase beantworten Sie folgende Fragen:
- Wie können wir X erkennen?
- Welche Protokoll- oder Datenquellen benötigen wir dafür?
- Welche Erkennungslogik sollen wir verwenden?
Implementierung der Erkennung
Die Antworten auf diese Fragen führen zur eigentlichen Implementierung, die in einem Zyklus erfolgt und die Frage involviert, wie Sie die Erkennungsfunktionen fortlaufend verwalten. Nachdem Sie diesen konkreten Erkennungs-Content definiert haben, müssen Sie ihn fortlaufend optimieren, um falsch positive Erkennungen zu reduzieren und eventuelle andere Feinabstimmungen vorzunehmen. Sie optimieren und stellen die zuvor definierten Erkennungen bereit, prüfen aber auch fortwährend die Erkennungen, die Sie zuvor geschrieben haben. Im Rahmen dieses Prozesses stellen Sie folgende Fragen:
- Wie können wir die Erkennung automatisieren?
- Eignet sich diese Erkennung eher für ein Dashboard, eine gespeicherte Suche, einen Bericht oder eine Regel?
Aufgrund des zyklischen Charakters des Detection-Engineering-Prozesses muss im Unternehmen eine Unterstützungskultur gepflegt werden. Ohne diese Kultur ist Ihre Mühe vergeblich. Wenn Sie diesen Zyklus befolgen, können Sie die mittlere Zeit bis zur Erkennung einer Bedrohung und bis zur Reaktion auf einen Vorfall deutlich verkürzen. Natürlich kann es immer auch zu Vorfällen kommen, die von diesem Zyklus nicht abgedeckt werden. Hier kommt die Bedrohungssuche ins Spiel.
Entdecken Sie die weltweit führende KI-native Plattform für SIEM und Protokollmanagement der nächsten Generation
Stärken Sie Ihre Cybersicherheit mit der CrowdStrike Falcon®-Plattform, der führenden KI-nativen Plattform für SIEM und Protokollmanagement. Sie erleben Sicherheitsprotokollierung im Petabyte-Bereich und haben die Wahl zwischen cloudnativer oder selbst gehosteter Bereitstellung. Protokollieren Sie Ihre Daten mit einer leistungsstarken, indexfreien Architektur ohne Engpässe – so sind Bedrohungssuchen mit einer Datenerfassung von über 1 PB pro Tag möglich. Dank Echtzeitsuchfunktionen sind Sie Angreifern einen Schritt voraus und erzielen bei komplexen Abfragen Latenzen von unter einer Sekunde. Sie profitieren von umfassender Transparenz, können Daten konsolidieren, um Silos aufzubrechen, und ermöglichen Ihren Sicherheits-, IT- und DevOps-Teams, Bedrohungen zu erkennen, die Leistung zu überwachen und nahtlose Compliance zu gewährleisten – bei drei Milliarden Ereignissen in weniger als einer Sekunde.