MITRE TTPs - Brute Force & Kerberos

Vordefinierte Anwendungsfälle (beispielsweise Compliance, Threat, Intrusion, Anomalie, Malware und mehr) berücksichtigen die aktuelle Bedrohungslage und helfen, sicherheitsrelevante Vorgänge (IoCs) transparent zu machen.

Diese Regelwerke benötigen lediglich eine Anreicherung von spezifischen IT-Infrastruktur-Informationen. Diese können einfach durch Konfiguration angereichert werden. Über das Extension Management werden die Apps und Content Packages regelmäßig aktualisiert.

User Analytics - Kategorien

Stand heute, stehen mit User Analytics 193 Anwendungsfälle (Regelwerke) aus 15 Kategorien (Techniken/Taktiken) zur Verfügung. Im vorliegenden Beispiel liegt der Fokus auf der Kategorie „Access und Authentication“.

Darin sind aktuell 22 Regelwerke (TTPs) berücksichtigt. Dazu gehören auch die Erkennung von „Brute Force“ und Kerberos Techniken, Taktiken und Prozeduren aus MITRE. In einem SIEM360 (QRadar SIEM) mit einem hohen Reifegrad, sind über 1000 Regeln und Building Blocks etabliert. Eine gute Grundlage zur "Basis Überwachung", um mögliche IT-Sicherheitsvorfälle zeitnah zu erkennen.

User Analytics - Online Hilfe

Über die Online-Hilfe kann jederzeit kontextbezogen überprüft werden, welche Voraussetzung für den jeweiligen Anwendungsfall zu berücksichtigen sind.

TTP - Brute Force Authentication Attempts

Integriert in der User Analytics App ist der Aufruf des „Rule Wizard“. Über den „Bleistift“ kann dadurch direkt zur vorliegenden Regel verzweigt werden. Brute Force ist im Standard User Analytics-Regelwerk enthalten und prüft horizontale und vertikale Anmeldefehler, sogenannte Brute Force Attacken.

Test Definitionen

Bestandteil einer Regel sind u. a. Building Blocks (Test Definitionen), die „Bewegungs-Muster“ abprüfen. Davon gibt es jede Menge „Vorlagen“ und Beispiele, die individuell angepasst werden können, um festzustellen, ob ein spezifisches „Muster“ erkannt wird.

Zu den Tests im vorliegenden Beispiel gehören jegliche Anmeldefehler möglicher Log Source Typen (SIEM Scope).

Regel-Design - MITRE ATT@CK

Bei dem Regel-Design zur Brute Force Erkennung wird auch der Bezug zu den Phasen der Cyber Kill Chain (CKC) aus dem MITRE ATT@CK Framework hergestellt. In diesem Beispiel „Credential Access“. In Ergänzung dazu werden auch Testdefinitionen geprüft, die auf horizontales und vertikales Verhalten hinweisen.

Die Regel zur Brute Force Erkennung ist seit 10/2018 Bestandteil von User Analytics und prüft neben MS Windows noch andere relevante Log Source Typen.

Brute Force - horizontal

In den Details der horizontalen Betrachtung ist gut zu erkennen, wie durch einen sogenannten „Stateful Test“ geprüft wird, ob in kurzer Zeit mehrere Benutzernamen, ausgehend von derselben Quelle, angefragt werden.

Brute Force - vertikal

Bei der vertikalen Betrachtung wird geprüft, ob es viele Anmeldungsfehler für einen Benutzer innerhalb einer kurzen Zeitspanne gibt.

TTP - Multiple Kerberos Authentication Failures from Same User

Auch Kerberos als Angriffsvektor (Technik, Taktik, Prozedur) kann mit User Analytics überwacht werden. Als Vorgabe, wenn User Analytics etabliert wird, sind diese Anwendungsfälle deaktiviert (Need-to-Know).

Multiple Kerberos Authentication Failures - Online KB

Auch dazu gibt es in der Online Hilfe (IBM KB Center) detaillierte Informationen zu den Voraussetzungen für diesen spezifischen „Use Case“.

Multiple Kerberos Authentication Failures - Hinweis!

Bevor dieser Anwendungsfall „aktiviert“ wird, ist zu empfehlen, in den User Analytics Einstellungen die Option „Search Assets for username“ zu aktivieren, falls im Event- oder Flow-Record kein Username zu finden ist.

Multiple Kerberos Authentication Failures from Same User - Details

Für diese TTP (Kerberos) wird überprüft, ob es 5 oder mehr Kerberos Authentifizierung Ticket Fehler für einen Anwender innerhalb 24 Stunden aufgetreten sind.

Use Case Manager: Regeln komfortabel verwalten

Über den „Use Case Manager“ können alle Regeln komfortabel verwaltet werden. Damit kann übersichtlich und einfach die Funktionsweise einer Regel nachvollzogen werden. Ideal für agile Dokumentation! Auch hier ist der „Rule Wizard“ integriert. Über die Schaltfläche „Edit in Rule Wizard“ wird direkt die Regel zur Bearbeitung geöffnet.

Kerberos Authentication Failures - mehr Details

Unter anderem wird im Falle von MS Windows geprüft, ob im Windows Event Log die Event ID 4771 entdeckt wurde.

Grundsätzlich (er-)kennt QRadar alle Event-IDs der zentral angeschlossenen Log Sources durch ein entsprechendes DSM (Device Support Module). Intern werden Events durch sogenannte QIDs „ein-eindeutig“ verwaltet und zugeordnet.

MITRE ATT@CK - Credential Access

Auch in diesem Fall wird beim Regel-Design die Zuordnung zum MITRE Att@ck-Framework , hier „Credential Access“ hergestellt. Im Use Case Manager ist das MITRE Framework integriert und unterstützt die Zuordnung von Techniken und Taktiken auch für individuelle Regeln.

All diese Bausteine unterliegen regelmäßigen Updates. Somit wird sichergestellt, dass diese bei wesentlichen Änderungen und neuen Erkenntnissen, stets im SIEM360 zeitnah zur Verfügung stehen.

Empfehlungen

• Aktuellen QRadar SIEM Release etablieren
• SIEM Scope überprüfen
• Assets pflegen (Ansprechpartner, Gewichtung, VA)
• Netzwerk Hierarchie aktualisieren
• Kontextspezifische Informationen sammeln (User, Netze, kritische Assets…)
• Apphost etablieren

Apps etablieren

• Assistant – Zugang zu App-Store und Verwaltung von Apps
• User Analytics
• Use Case Manager
• Pulse
• Log Source Management
• Reference Data Management
• Threat Intelligence
• Schwachstellen Management (beispielsweise Qualys App)

Content Packages etablieren

• Baseline Maintainance
• Compliance
• Data Exfiltration
• Intrusions
• Phising and E-Mail
• Ransomware
• Security Threat Prevention

Unbedingt erforderlich!

• QRadar Expertise
• Schulung, Hands-On
• Tipp: P4B QRadar ONLINE Boot Camp

Als Einstieg ist eine Zertifizierung C1000-018 zu „IBM QRadar SIEM V7.3.2 Fundamental Analysis“ sehr hilfreich!