Threat Use Cases & IBM QRadar
von Ralph Belfiore
LogSourcen in QRadar und Use Cases
Die Grafik zeigt eine Übersicht mit LogSourcen und Use Cases.
Für jede LogS-Quelle, die beispielsweise mit QRadar überwacht wird, gibt es relevante ATT&CK Framework-Kategorien...
Beispiel: Mail Logs - Att&ck Kategorien
Für Daten von diesem Typ Logquelle ist es wichtig, folgende ATT&CK Kategorien dieser Angriffstechnik zu erkennen:
- Execution
- Initial Access
- Collection
Mail Logs Use Case & Beispiel
| Use Case | Beispiel |
| Advanced Persistent Threat | Überwachen von Phising und Spam |
| Insider Threat | Phising |
| Critical Data Protection | Phising, Datenabzug durch E-Mail |
Mehr Details zu Taktiken und Techniken unter ATT&CK Technic Matrix
Fazit
Das öffentliche Security Framework mit Angriffsszenarien und Techniken von MITRE ATT&CK ist eine ideale Orientierung bei der Use Case Erstellung. In Verbindung mit IBM QRadar als SIEM Security Lösung eine zeitgemäße Kombination, um die Erkennung von IT-Sicherheitsvorfällen zu verbessern.
Grundsätzlich gilt es weiterhin von Anfang an auf wesentliche Grundlagen bei der Installation und Konfiguration von IT Komponenten und Software zu achten (BSI Grundschutz Kompendium), um eine Basis IT Sicherheit herzustellen.
Abgerundet wird die IT-Sicherheits-Strategie, wenn die Benutzer in Sachen IT-Sicherheit regelmäßig sensibilisiert und in den IT-Security-Prozess mit eingebunden werden.