Sichtungssuchen nach von Anwendern gemeldeten Phishing- und Malware-Angriffen

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 9 Minuten Lesedauer

    • Führen Sie Sichtungssuchen in E-Mails oder erkennbaren Elementen durch, um zu bestimmen, wie häufig bestimmte Arten von Angriffen, z. B. Phishing-Angriffe oder Kommunikation mit einer schädlichen IP-Adresse oder URL, in Ihrem Netzwerk auftreten. Jedes Auftreten gilt als Sichtung. Sichtungssuchen nach erkennbaren Elementen müssen für Ihre Protokollspeicher oder das SIEM (Security Information and Event Management, SIEM) konfiguriert werden.

    Sehen Sie sich dieses dreiminütige Video an, um zu erfahren, wie Sie mit der Sichtungssuchfunktion Phishing-Anwender ausfindig machen und erkennbare Phishing- und Malware-Elemente im Protokollspeicher Ihres Netzwerks nachverfolgen können.

    Die folgenden Begriffe werden verwendet, um von Benutzern gemeldete Phishing-Angriffe zu beschreiben:
    • Phishing-Anwender: Ein Anwender, der eine Phishing-E-Mail erhalten hat.
    • Betroffener Anwender: Ein Anwender, der mit der Phishing-URL interagiert hat, normalerweise durch Klicken auf einen Link in der Phishing-E-Mail. Durch diese Aktion werden dem Angreifer möglicherweise Anmeldeinformationen verfügbar gemacht.
    Wenn Sie mit der Analyse eines Phishing-Incidents beginnen, können Sie eine E-Mail-Sichtungssuche oder eine Suche nach erkennbaren Elementen durchführen, um andere Anwender in Ihrer Organisation zu identifizieren, die von demselben Phishing-Angriff betroffen sind. Durchsuchen Sie Ihre Protokollspeicher, um Phishing-Angriffe und betroffene Anwender zu identifizieren. Nachdem Sie die Liste der betroffenen Benutzer identifiziert haben, erstellen Sie mit den in Security Incident Responseverfügbaren Tools untergeordnete Security Incidents, um umfassende Verfahren zur Reaktion auf Incidents durchzuführen.
    Hinweis:
    Sie können auch den folgenden Ansatz verwenden, um eine Sichtungssuche durchzuführen:
    • Navigieren zu Security Incidents > Alle Incidents anzeigen und klicken Sie auf einen Security Incident.
    • Klicken Sie auf IoC anzeigen unter Zugehörige Links. Eine Liste der erkennbaren Elemente wird angezeigt.
    • Wählen Sie ein erkennbares Element aus der Liste aus, und wählen Sie in der Liste Aktionen eine der folgenden Optionen aus:
      • Sichtungssuche für Webdatenverkehr ausführen
      • Sichtungssuche für E-Mail-Datenverkehr ausführen
    • Geben Sie den Zeitrahmen an, und klicken Sie auf Suche, um eine Sichtungssuche durchzuführen.

    Sichtungssuchkonfigurationen gespeichert

    Konfigurieren Sie Sichtungssuchen, und erstellen Sie gespeicherte Konfigurationen für SIEMs oder andere Protokollspeicher für Instanzen von erkennbaren Elementen, um das Vorhandensein schädlicher erkennbarer Elemente in Ihrer Umgebung festzustellen.
    Hinweis:
    Gespeicherte Suchen und Inplace-Abfragen werden nur für die Splunk-Integration unterstützt.

    Führen Sie eine E-Mail-Sichtungssuche nach von Anwendern gemeldeten Phishing-Angriffen durch

    Suchen Sie nach Anwendern, die Phishing-E-Mails erhalten haben, basierend auf erkennbaren Elementen wie E-Mail-Betreff, Absendername oder Nachrichten-ID. Sie können diese Phishing-E-Mails dann eindämmen und in Ihrer Organisation entfernen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Durchsuchen Sie die Protokolle des Splunk-E-Mail-Verkehrs, um die Liste der Empfänger einer verdächtigen E-Mail zusammenzustellen. Die Suche kann anhand des E-Mail-Absenders, der E-Mail-Nachrichten-ID oder des E-Mail-Betreffs, der einem Security Incident zugeordnet ist, als Kriterium durchgeführt werden.
    Hinweis:
    • Diese Implementierung der Sichtungssuche für E-Mail-basierte erkennbare Elemente wurde nur mit dem Splunk Enterprise-Protokollspeicher getestet.
    • Die Splunk-Protokollereignisse müssen Common Information Model (CIM) entsprechen, damit die Sichtungssuchabfrage genaue Ergebnisse zurückgibt.

    Prozedur

    1. Um die Ihrem Team zugewiesenen Security Incidents anzuzeigen, navigieren Sie zu Security Incident > Incidents (neue UI)an.
    2. Wählen Sie in der Liste „ Security Incidents “ einen der Filter aus, z. B. alle offenen Incidents, alle Ihnen zugewiesenen Incidentsoder alle Incidents.

      Klicken Sie auf einen der Schnellfilter, um Security Incidents eines bestimmten Typs anzuzeigen, z. B. kritische Incidents oder Phishing-E-Mails.

      Security Incidents
    3. Klicken Sie auf den Security Incident, den Sie analysieren möchten.

      Die Registerkarte „Übersicht“ bietet eine Übersicht über Security Incidents, einschließlich einer Liste erkennbarer Elemente, betroffener Benutzer und ähnlicher Security Incidents.

      Registerkarte „Übersicht“
    4. Klicken Sie auf die Registerkarte Erkunden.
    5. Navigieren Sie unter Incident-Datenzu Ermittlung > E-Mails und erkennbare Elemente durchsuchenan.
      E-Mail-Suche
    6. Erweitern Sie den Abschnitt Suchkriterien.
    7. Wählen Sie E- Mail-Suche als den Suchtyp aus, den Sie ausführen möchten, und geben Sie die restlichen Suchkriterien an.
      Tabelle : 1. Formular „Suchkriterien“.
      Feld Beschreibung
      Integrationen Integrationstyp. Wählen Sie Protokollspeicher aus der Liste aus.
      Hinweis:
      Diese Funktion wird nur mit dem Splunk-Protokollspeicher unterstützt.
      Von Vollständige E-Mail-Adresse des Absenders (z. B. jane.doe@example.com).
      Nachrichten-ID E-Mail-Nachrichten-ID aus dem Protokollspeicher.
      Betreff Betreff der Phishing-E-Mail.
      Suchfenster Zeitfenster für die Suche (z. B. die letzten 24 Stunden).
    8. Wählen Sie in der Liste Aktion auswählen die Option Suchen aus, und klicken Sie dann auf Ausführen.

      Der Splunk-Protokollspeicher wird anhand der von Ihnen eingegebenen Kriterien durchsucht, und die Benutzer, die Ziel des Phishing-Angriffs sind, werden auf der Registerkarte E- Mail-Suchergebnisse angezeigt. Die Gesamtzahl der Phishing-E-Mails und die Details jeder E-Mail, einschließlich Empfangsdatum der E-Mail, Empfänger und Nachrichten-ID, werden angezeigt.

    9. Um die Liste der Benutzer anzuzeigen, die die Phishing-E-Mail erhalten haben, klicken Sie auf das Symbol > in der Spalte Suchdatum.
      E-Mail-Suchergebnisse
    10. Um eine Liste der Benutzer anzuzeigen, die die E-Mail erhalten haben, navigieren Sie zu Anwender > Betroffene Anwenderan.

      Die Spalte Phishing-Anwender identifiziert die E-Mail-Empfänger.

      Hinweis:
      Auf der Seite „Betroffene Anwender“ werden nur die Anwenderdatensätze angezeigt, die in der ServiceNow-Instanz vorhanden sind.
    11. Führen Sie die folgenden Schritte aus, um die Anwender, die Ziele des Phishing-Angriffs sind, weiter zu untersuchen:
      1. Aktivieren Sie die Kontrollkästchen neben den Anwendernamen.
      2. Wählen Sie in der Liste Untergeordneten Security Incident erstellenaus, und klicken Sie auf Ausführen.
      Es wird eine Meldung angezeigt, dass ein untergeordneter Security Incident erstellt wurde. Um die untergeordneten Security Incidents anzuzeigen, die einem übergeordneten Incident zugeordnet sind, klicken Sie auf die Registerkarte Erkunden, und navigieren Sie zu Incidents > Untergeordnete Security Incidentsan.

    Ergebnisse

    Die Liste der Benutzer mit Phishing-Assets wird angezeigt.

    Führen Sie eine Sichtungssuche für erkennbare Elemente nach von Anwendern gemeldeten Phishing- und Malware-Angriffen durch

    Führen Sie Sichtungssuchen für erkennbare Elemente durch, um herauszufinden, wie viele Anwender innerhalb eines bestimmten Zeitraums eine schädliche oder verdächtige Website besucht haben.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können eine Suche im Netzwerkverkehr nach erkennbaren Elementen wie der URL, dem Zielhost oder der Ziel-IP-Adresse durchführen, die einem Security Incident zugeordnet sind.
    Hinweis:
    • Diese Implementierung der Sichtungssuche nach erkennbaren Elementen wurde nur mit dem Splunk Enterprise-Protokollspeicher getestet.
    • Die Splunk-Protokollereignisse müssen Common Information Model (CIM) entsprechen, damit die Sichtungssuchabfrage genaue Ergebnisse zurückgibt.

    Prozedur

    1. Um die Security Incidents anzuzeigen, die Ihrem Team zugewiesen sind, navigieren Sie zu Security Incident > Incidents (neue UI)an.
    2. Wählen Sie in der Liste „ Security Incidents “ einen anderen Filter aus, z. B. alle mir zugewiesenen Incidents, alle offenen Incidentsoder alle Incidents.

      Klicken Sie auf einen der Schnellfilter, um Security Incidents eines bestimmten Typs anzuzeigen, z. B. kritische Incidents oder Phishing-E-Mails.

      Security Incidents
    3. Klicken Sie auf den Security Incident, den Sie analysieren möchten.

      Sie können eine Übersicht über den Security Incident anzeigen, einschließlich einer Liste erkennbarer Elemente, betroffener Benutzer und ähnlicher Security Incidents.

      Registerkarte „Übersicht“

      Beachten Sie, dass im Abschnitt „Erkennbare Elemente“ in der Spalte „Erkennbares Element“ die E-Mail-Adresse, der Betreff und die URL angezeigt werden. Beachten Sie auch, dass in der Spalte „Ergebnis“ zu sehen ist, dass die URL bei Übermittlung der Phishing-E-Mail automatisch gescannt und als bekannte schädliche URL eingestuft wurde. In der Spalte Incident-Anzahl werden die anderen Incidents angezeigt, die dasselbe erkennbare Element gemeinsam nutzen. Diese Artefakte zeigen an, dass Sie wahrscheinlich bereit sind, zu Eindämmungsverfahren für diesen Phishing-Angriff überzugehen, einschließlich der Bestimmung, wie viele Benutzer in der Organisation betroffen sind.

      Erkennbare Elemente

    4. Navigieren zu Untersuchen > Ermittlung > E-Mails und erkennbare Elemente durchsuchenan.
    5. Erweitern Sie den Abschnitt Suchkriterien, und klicken Sie auf Suchenach erkennbaren Elementen.
      Suche nach erkennbaren Elementen
    6. Geben Sie das gesuchte erkennbare Element und ein Zeitfenster für die Suche ein (z. B. Letzte 24 Stunden).
    7. Wählen Sie in der Liste Aktion auswählen die Option Suchenaus.
      Der Splunk-Protokollspeicher wird anhand der von Ihnen eingegebenen Kriterien durchsucht, und die wichtigsten Benutzer, die Ziel des böswilligen Angriffs sind, werden auf der Registerkarte Suchergebnisse für erkennbares Element angezeigt.Ergebnisse der Suche nach erkennbaren Elementen
    8. Um die Benutzer anzuzeigen, die die E-Mail erhalten haben, navigieren Sie zu Anwender > Betroffene Anwenderan.

      Die Spalte „Phishing-Benutzer“ identifiziert die Empfänger der Phishing-E-Mail, und die Spalte „Benutzerinteraktion“ identifiziert Benutzer, die auf eine Phishing-URL geklickt oder mit einer verdächtigen E-Mail-Adresse interagiert haben. Die Spalte „Anwenderinteraktion“ wird auf „true“ oder „false“ gesetzt, je nachdem, ob der Anwender auf den schädlichen Link oder die schädliche IP geklickt hat.

      Hinweis:
      Auf der Seite „Betroffene Anwender“ werden nur die Anwenderdatensätze angezeigt, die in der ServiceNow-Instanz vorhanden sind.
    9. Um die Anwender, die auf die Phishing-E-Mail geklickt und möglicherweise ihre Anmeldeinformationen gefährdet haben, weiter zu untersuchen:
      1. Aktivieren Sie in den Spalten Phishing-Anwender und Anwenderinteraktion die Kontrollkästchen neben den Anwendernamen, die trueanzeigen.
      2. Klicken Sie auf Untergeordneten Security Incident erstellen und anschließend auf Ausführen.
        Es wird eine Meldung angezeigt, dass ein untergeordneter Security Incident erstellt wurde. Um die untergeordneten Security Incidents anzuzeigen, die einem übergeordneten Incident zugeordnet sind, klicken Sie auf die Registerkarte Erkunden, und navigieren Sie zu Incidents > Untergeordnete Security Incidentsan.

    Ergebnisse

    Die Liste der Benutzer mit Phishing-Assets wird angezeigt.

    Erstellen Sie Konfigurationsdatensätze für die Sichtungssuche

    Erstellen Sie mehrere Konfigurationsdatensätze für die Sichtungssuche, und verwenden Sie sie, wenn Sie mehrere Protokollspeicher abfragen oder die Suchparameter variieren.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    • Das CIM-Add-on muss auf der Splunk-Instanz installiert sein.
    • Gespeicherte Suchen und Inplace-Abfragen werden nur für die Splunk-Integration unterstützt.

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können auch Konfigurationsdatensätze für Sichtungssuchen erstellen, um gespeicherte Suchen im Splunk-Enterprise-Protokollspeicher aufzurufen.
    Hinweis:
    Die Suchkonfigurationsabfragen beruhen darauf, dass Splunk-Protokolldaten konform mit dem Splunk Common Information Model (CIM) sind.
    Mit gespeicherten Suchkonfigurationen können Sie:
    • Erstellen Sie anwenderdefinierte Suchen, die mehrere Ereignisdatensätze kombinieren.
    • Designeffiziente und effektive Suche.
    • Verwenden Sie parametrisierte Eingaben in der gespeicherten Splunk-Suche.

    Das -Basissystem enthält die in der folgenden Abbildung gezeigten Beispielkonfigurationen:

    Abbildung : 1. Gespeicherte Suchkonfigurationen
    Suchkonfiguration
    Die gespeicherte Suche und die Inplace-Konfigurationsabfragen sind Beispielabfragen und können durch entsprechende Parameter für Ihre Umgebung ersetzt werden. Erstellen Sie nach Bedarf zusätzliche gespeicherte Suchkonfigurationen. Wenn Sie eine gespeicherte Suchkonfiguration definieren, müssen der Name und die Parameter in der Suchabfrage mit der in Ihrer Splunk-Instanz definierten gespeicherten Konfiguration übereinstimmen. Wenn der Name und die Parameter nicht identisch sind, werden bei einer Sichtungssuche möglicherweise keine genauen Ergebnisse angezeigt.
    Hinweis:
    Navigieren Sie in Ihrer Splunk-Instanz zur Seite Suchen, Berichte und Warnungen, und suchen Sie nach Ihrer gespeicherten Suchabfrage. Klicken Sie auf den Link Berechtigungen, um zur Seite „Berechtigungen“ zu navigieren. Wählen Sie das Optionsfeld Alle Apps aus, und aktivieren Sie die Option Leseberechtigung für Jeder. Dadurch wird der Spaltenwert „Freigabe“ für Ihre gespeicherte Suchabfrage von „Privat“ in „App“ geändert. Wenn dies nicht festgelegt ist, gibt die gespeicherte Suchabfrage möglicherweise keine Ergebnisse zurück.

    So überprüfen Sie, ob die gespeicherte Suchkonfiguration mit der in Ihrer Splunk-Instanz definierten Konfiguration übereinstimmt:

    1. Navigieren zu Einstellungen > Suchen, Berichte und Warnungenan.
    2. Ändern Sie den App-Kontext in Alle.

      Eine Liste der Suchberichte wird angezeigt.

    3. Bestätigen Sie, dass die gespeicherte Suchabfrage in der Liste vorhanden ist.
    Das Formular „Konfigurationen für die Sichtungssuche“ enthält beispielsweise die E-Mail-Adresse und den E-Mail-Absender als Suchparameter:
    Abbildung : 2. Formular „Konfigurationen für Sichtungssuche“.
    Gespeicherte Konfiguration

    Definieren Sie in Ihrer Splunk-Instanz die gespeicherte Suche mit demselben Namen, Standardmäßige gespeicherte Suche – E-Mails, und denselben Suchparametern für die E-Mail-Adresse und den E-Mail-Betreff. Wenn der Name und die Suchparameter nicht identisch sind, generiert die Sichtungssuche kein genaues Ergebnis.

    Prozedur

    1. Navigieren zu Security Operations > Integrationen > Sichtungssuche – Konfiguration und erstellen Sie einen neuen Datensatz (Feldbeschreibungen finden Sie in der Tabelle).
      Tabelle : 2. Formular „Konfigurationen für Sichtungssuche“.
      Feld Beschreibung
      Name Name der Konfiguration
      Ist gespeicherte Suche Wenn Sie diese Option auswählen, wird eine gespeicherte Suchkonfiguration erstellt.
      Sichtungssuchquelle Die Quelle für die Sichtungssuche. Wählen Sie den Splunk-Protokollspeicher als Quelle aus.
      Aktiv Option für den gespeicherten Suchstatus. Nur aktive Suchkonfigurationen können verwendet werden, um eine Sichtungssuche durchzuführen.
      Erkennbarer Typ Der erkennbare Elementtyp kann ein beliebiger erkennbarer Elementtyp wie IP, Hash-Wert, URL, Domänenname usw. sein.
      Maximale erkennbare Elemente pro Suche Maximale Anzahl erkennbarer Elemente, die von der Suche zurückgegeben werden sollen.
      Suchen Die Standardsuchzeichenfolge ist $(observable), Sie können jedoch Ihre eigene Suchabfrage definieren, indem Sie Parameter angeben, die vom Splunk-Protokollspeicher unterstützt werden.
    2. Klicken Sie auf Absenden.

    Ergebnisse

    Sie haben einen Konfigurationsdatensatz für die Sichtungssuche erstellt.

    Nächste Maßnahme

    Nachdem Sie die Suchabfrage definiert haben, klicken Sie auf Testabfrage für Sichtungssuche generierenund geben eine Liste erkennbarer Elemente an, um eine Testabfrage basierend auf dieser gespeicherten Suchkonfiguration zu generieren.