Effizienter arbeiten - Ziel im Blick behalten!

Ergänzende MITRE ATT&CK TTPs Erkennungsregeln nach "Stand der Technik" zuordnen und vorausschauend die Optimierung in Bezug zur Cyber Kill Chain planen?!

• Einfach Regeln duplizieren, um sie dem individuellen Szenario anzupassen?
• Agil Filter anwenden und gezielte Exports agil und aktuell zur Verfügung stellen?

Die kontinuierliche Optimierung, Planung und Dokumentation im Blick behalten. Jederzeit den Status einsehen, ob der Kurs eingehalten wird!

MITRE ATT&CK - APT3 und AgentTesla Software erkennen

• Sie wollen sicherstellen, dass Regeln aktiv sind, um beispielsweise den APT3 und die Verwendung der AgentTesla und Astaroth Software zu erkennen?
• Sie wollen feststellen, ob die TTP für Credential Access/Credentail-Dumping durch eine etablierte Standard-Regel im SIEM360 bereits erkannt wird?

Kein Thema! Durch schnelle Selektion und Filtering werden die aktuellen Ergebnisse sofort angezeigt und können bearbeitet, dokumentiert oder exportiert werden.

Übrigens: das gilt für alle bisher bekannten APTs und Software, die dabei zum Einsatz kam, die im MITRE ATT&CK Framework aktuell enthalten sind.

Modernes Design - flexibles Filtering

Sie brauchen schnell eine aktuelle Antwort auf die folgenden Fragen:

• Welches MITRE Mapping in Bezug zur CKC Taktik "Credential Access", sind bei welchen etablierten Regeln vorhanden?
• Welche sind davon aktiviert?

Hier ein kurzes Beispiel dazu.

MITRE Mapping herstellen - Non-Installed-Content

Sie wollen ein Anwendungs-Szenario umsetzen und Regeln etablieren, um das folgende MITRE ATT&CK Mapping herzustellen:

• Credential Access

Das Szenario soll Bewegungsmuster erkennen bei

• User Authentication Failures on Perimeter Systems - oder bei
• User Authentication Failures on Internal Systems

Über die entsprechende Selektion wird schnell im Use Case Manager angezeigt, welches Content Package da für aus dem App Exchange Store dafür installiert werden kann, um die ergänzenden Regeln daraus einfach zu etablieren. In diesem Beispiel wäre es das "IBM Security GPG13 Content" Package und es wird direkt zum Download verzweigt!

Bei Bedarf können diese Regeln evtl. noch durch spezifische Anpassung ergänzt werden, falls das erwartete Ergebnis noch unscharf wäre - fertig!

SIEM Scope - Log Source Types - MITRE Mapping - Rules

Damit Geschäftsprozesse nicht durch einen möglichen IT-Sicherheitsvorfall beeinträchtigt werden, muss der SIEM Scope ständig aktualisiert und angepasst werden! Ändern sich dazu die verwendeten IT-Komponenten, Betriebssysteme, Applikation, Versionen, etc., muss auch der Reifegrad für die SIEM Erkennung stets optimiert werden.

Schnell zu identifizieren, welche Log Source Types und Regeln im Einsatz sind, ist essentiell:

• Welche Log Source Types sind im Einsatz und wie viele?
• Wie viele Regeln sind dafür etabliert?
• Wie viele Regeln können noch dafür etabliert werden, um den Reifegrad evtl. weiter zu optimieren?
• Wie viele Regeln decken auch Aspekte aus MITRE ab?
• Wie viele Regeln mit MITRE könnten noch etabliert werden?

Eine Antwort steht mit dem Use Case Manager schnell zur Verfügung und unterstützt dabei, den Reifegrad kontinuierlich zu verbessern!

SIEM Strategie - Trend & KPIs

Den Reifegrad des gesamten SIEM Prozesses im Blick zu haben ist ebenfalls sehr wichtig! KPIs helfen dabei, Zeit, Geld, Ressourcen & den Optimierungsfortschritt optimal zu balancieren.
Auch hierbei unterstützt der Use Case Manager den SIEM-PDCA-Zyklus optimal!

Für Fragen und Anregungen stehe ich gerne zur Verfügung. Falls dieser Beitrag neugierig auf mehr zum Thema “SIEM360” macht, gerne auf Twitter unter @p4bgmbh folgen oder unseren P4B-Blog unter blog.pro4bizz.de abonnieren.

Bei Fragen zu unserem Dienstleistungs-Portfolio gerne mich einfach direkt kontaktieren oder über das Kontaktformular gehen :)