Übermitteln Sie einen benutzerdefinierten Datensatz, um verdächtige Portaktivitäten zu überwachen
Die ExtraHop-Plattform kann Ihnen dabei helfen, Transparenz und Echtzeitzugriff auf frühe Angriffsindikatoren in Ihrem Netzwerk zu erlangen. Eine proaktive Sicherheitsmaßnahme, die Sie ergreifen können, ist die Überwachung von Ports, die Sie für anfällig für Trojaner und andere Malware halten.
Da 12345 beispielsweise eine leicht zu merkende Sequenz ist, wird diese Nummer häufig bei der Konfiguration einer Standard-Portnummer für einen Server oder ein Programm ausgewählt, sodass dieser Portwert ein beliebtes Ziel für Angreifer ist.
In dieser exemplarischen Vorgehensweise schreiben Sie einen Auslöser, der jede Transaktion über einen verdächtigen Portwert in einen Datensatz festschreibt. Anschließend erstellen Sie eine Abfrage, um die gesammelten Datensätze anzuzeigen.
Voraussetzungen
- Sie benötigen Zugriff auf ein ExtraHop-System mit einem Benutzerkonto, das über System- und Zugriffsadministrationsrechte verfügt.
- Ihr ExtraHop-System muss mit einem Recordstore verbunden sein.
- Ihr Netzwerk muss so konfiguriert sein, dass Verkehr über Port 12345 zugelassen wird.
- Machen Sie sich mit den Konzepten in dieser Komplettlösung vertraut, indem Sie die Rekorde und Auslöser.
- Machen Sie sich mit den Prozessen zur Erstellung von Triggern vertraut, indem Sie die Komplettlösung für Trigger.
Schreiben Sie den Auslöser
In den folgenden Schritten schreiben Sie einen Auslöser, der nach Serververkehr über Port 12345 sucht und dann einen benutzerdefinierten Datensatz jeder Transaktion in einen Recordstore.
Abfragen und Anzeigen der benutzerdefinierten Datensätze
In den folgenden Schritten suchen Sie nach den benutzerdefinierten Datensätzen, die an den Recordstore übergeben wurden, und erstellen eine gespeicherte Datensatzabfrage auf der Grundlage der Suchkriterien.
Überprüfen Sie die Aufzeichnungen Malware Malware-Indikatoren
Wenn Ihr System von einem Malware-Angriff betroffen ist oder Sie von neuer Malware erfahren, die im Umlauf ist, können Sie in Ihren Aufzeichnungen nachsehen, ob Ihr System angegriffen wurde.
Wenn Sie beispielsweise erfahren, dass ein neuer Trojaner häufig über Port 12345 gesendet wird, können Sie die gespeicherte Abfrage Mögliche Trojaner öffnen, die Sie oben erstellt haben, und nach der folgenden Aktivität suchen:
- Transaktionen, die über unerwartete Protokolle erfolgen. Sie könnten beispielsweise erwarten, dass IMAP-Verkehr über Port 12345 angezeigt wird, aber kein SSH-Verkehr.
- Transaktionen, die über nicht klassifizierte Protokolle erfolgen und in den Abfrageergebnissen als tcp:12345 angezeigt werden. Nicht klassifizierte Protokolle werden vom ExtraHop-System nicht erkannt und können verdächtig sein .
- Client-IP-Adressen, die mit Transaktionen über unerwartete oder nicht klassifizierte Protokolle verknüpft sind, und wenn die IP-Adresse aus einem nicht vertrauenswürdigen Gebietsschema stammt.
- Zeitstempel der Transaktionen, die Sie für fragwürdig halten und die außerhalb der Geschäftszeiten stattfanden.
Durch die Eingrenzung verdächtiger Transaktionen können Sie feststellen, ob Sie ein Malware-Problem haben , sodass Sie mit der Lösung beginnen können.
Danke für deine Rückmeldung. Dürfen wir Sie kontaktieren, um weitere Fragen zu stellen?