Einführung

Wir haben eine Einführung in das Security Operations Center gegeben und wie es funktioniert, welche verschiedenen Rollen und Verantwortlichkeiten es gibt, wie Netzwerküberwachung und Angriffserkennung, Reaktion auf Vorfälle und Schwachstellenmanagement. Dies war Teil von TryHackMe Einführung in die Cybersicherheit.

Holen Sie sich Hinweise zum OSCP-Zertifikat

Sicherheitsoperationszentrum (SOC) ist ein Team von IT-Sicherheitsexperten, die rund um die Uhr das Netzwerk und die Systeme eines Unternehmens überwachen. Ihr Überwachungszweck ist:

    • Finden Sie Schwachstellen im Netzwerk: A Verletzlichkeit ist eine Schwachstelle, die ein Angreifer ausnutzen kann, um Dinge zu tun, die über seine Berechtigungsstufe hinausgehen. Eine Schwachstelle kann in der Software eines beliebigen Geräts (Betriebssystem und Programme) im Netzwerk entdeckt werden, beispielsweise in einem Server oder einem Computer. Beispielsweise SOC entdeckt möglicherweise eine Reihe von MS Windows-Computern, die gegen eine bestimmte veröffentlichte Sicherheitslücke gepatcht werden müssen. Streng genommen fallen Sicherheitslücken nicht unbedingt in die Verantwortung des SOC. Nicht behobene Sicherheitslücken wirken sich jedoch auf das Sicherheitsniveau des gesamten Unternehmens aus.

    • Erkennen nicht autorisierter Aktivitäten: Stellen Sie sich den Fall vor, in dem ein Angreifer den Benutzernamen und das Passwort eines Mitarbeiters herausfindet und sich damit beim Unternehmenssystem anmeldet. Es ist entscheidend, diese Art von nicht autorisierter Aktivität schnell zu erkennen, bevor sie Schaden anrichtet. Viele Hinweise können uns dabei helfen, dies zu erkennen, z. B. der geografische Standort.

    • Richtlinienverstöße erkennen: A Sicherheitspolitik ist eine Reihe von Regeln und Verfahren, die dazu dienen, ein Unternehmen vor Sicherheitsbedrohungen zu schützen und die Einhaltung von Vorschriften sicherzustellen. Was als Verstoß gilt, ist von Unternehmen zu Unternehmen unterschiedlich. Beispiele hierfür sind das Herunterladen raubkopierter Mediendateien und das unsichere Senden vertraulicher Unternehmensdateien.

    • Eindringversuche erkennenEindringlinge beziehen sich auf System- und Netzwerkangriffe. Ein Beispielszenario wäre ein Angreifer, der unsere Webanwendung erfolgreich ausnutzt. Ein anderes Beispielszenario wäre ein Benutzer, der eine bösartige Site besucht und seinen Computer infiziert.
  • Unterstützung bei der Incident Response: Ein Vorfall kann eine Beobachtung, ein Richtlinienverstoß, ein Einbruchsversuch oder etwas Schädlicheres wie ein schwerwiegender Verstoß sein. Auf einen schwerwiegenden Vorfall richtig zu reagieren, ist keine leichte Aufgabe. Die SOC kann das Incident-Response-Team bei der Bewältigung der Situation unterstützen.

Datenquellen

Der SOC verwendet viele Datenquellen, um das Netzwerk auf Anzeichen von Eindringlingen zu überwachen und bösartiges Verhalten zu erkennen. Einige dieser Quellen sind:

  • Serverprotokolle: In einem Netzwerk gibt es viele Arten von Servern, z. B. Mailserver, Webserver und Domänencontroller in MS Windows-Netzwerken. Protokolle enthalten Informationen zu verschiedenen Aktivitäten, z. B. erfolgreiche und fehlgeschlagene Anmeldeversuche und vieles mehr. In den Serverprotokollen finden Sie eine Fülle von Informationen.
  • DNS AktivitätDNS steht für Domain Name System und ist das Protokoll, das für die Konvertierung eines Domänennamens zuständig ist, wie z. B. tryhackme.com, an eine IP-Adresse wie 10.3.13.37, unter anderen Domainnamen-bezogenen Anfragen. Eine Analogie zu der DNS Die Abfrage lautet: „Wie kann ich TryHackMe erreichen?“ und jemand antwortet mit der Postanschrift. In der Praxis, wenn jemand versucht, zu durchsuchen tryhackme.com, Die DNS Der Server muss es auflösen und kann die DNS-Abfrage zur Überwachung protokollieren. Das SOC kann durch bloßes Überprüfen von DNS-Abfragen Informationen über Domänennamen sammeln, mit denen interne Systeme zu kommunizieren versuchen.
  • Firewall-Protokolle: Eine Firewall ist ein Gerät, das Netzwerkpakete, die in das Netzwerk ein- und austreten, kontrolliert, indem es sie hauptsächlich durchlässt oder blockiert. Firewall-Protokolle können daher viele Informationen darüber enthalten, welche Pakete die Firewall passiert haben oder zu passieren versucht haben.
  • DHCP ProtokolleDHCP steht für Dynamic Host Configuration Protocol und ist dafür verantwortlich, den Systemen, die versuchen, eine Verbindung zu einem Netzwerk herzustellen, eine IP-Adresse zuzuweisen. Eine Analogie zur DHCP-Anforderung wäre, wenn Sie ein schickes Restaurant betreten und der Kellner Sie begrüßt und zu einem leeren Tisch führt. Bedenken Sie, dass DHCP Ihrem Gerät automatisch die Netzwerkeinstellungen zur Verfügung gestellt hat, wenn Sie einem Netzwerk ohne manuelle Konfiguration beitreten können. Durch die Überprüfung von DHCP-Transaktionen können wir mehr über die Geräte erfahren, die dem Netzwerk beigetreten sind.

Dies sind einige der häufigsten Datenquellen; es können jedoch auch viele andere Quellen zur Unterstützung der Netzwerksicherheitsüberwachung und anderer Aufgaben des SOC. Ein SOC kann ein Security Information and Event Management (SIEM)-System verwenden. Das SIEM aggregiert die Daten aus den verschiedenen Quellen, sodass das SOC die Daten effizient korrelieren und auf Angriffe reagieren kann.

Antworten auf die Herausforderungen

Was macht NSM stehen für?
Fügen Sie die erforderlichen Firewall-Regeln hinzu, um den laufenden Angriff zu blockieren. Was ist die Flagge, die Sie erhalten haben, nachdem Sie den Angriff erfolgreich gestoppt haben?

Was macht SOC stehen für?

Wie viele Stunden täglich arbeitet der SOC das Netzwerk überwachen?

Video-Komplettlösung

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen