Da immer mehr Benutzer remote arbeiten, ist es sehr wahrscheinlich, dass mehr Anwendungen heruntergeladen und auf den Endpunkten installiert werden. Hier ist ein Analysebericht aus der Splunk Enterprise Security Use Case-Bibliothek.
Analysebericht: Überwachung von nicht autorisierter Software
Dieser Bericht bietet eine Anleitung zur Identifizierung und Untersuchung von verbotener/nicht autorisierter Software in Ihrer Umgebung oder von Prozessen, die möglicherweise böswilliges Verhalten verschleiern. Darüber hinaus gibt es einen ähnlichen Analysebericht für die Überwachung veralteter Software. Bitte bedenkt, dass sich das Risiko durch Installieren von zusätzlicher Software auf den Endpunkten erhöht. Wenn ihr diese Suche bereits einsetzt, solltet ihr die Ausführungshäufigkeit überprüfen, da sich die spezifischen Anforderungen mit dem neuen Betriebsmodell voller Remote-Arbeit sehr wahrscheinlich ändern werden.
Zu den Suchbeispielen gehören unter anderem:
- Identifizierung verbotener Software auf dem Endpunkt
- Abrufen von Authentifizierungslogs auf dem Endpunkt
- Abrufen von Schwachstellenlogs auf dem Endpunkt
- Untersuchung von Webaktivitäten des Hosts
- Hinzufügen verbotener Prozesse zu Enterprise Security.
Für jedes dieser Suchbeispiele können Benutzer die Korrelationssuche bearbeiten, wie unten am Beispiel für verbotene Software auf dem Endpunkt gezeigt:
Der wichtigste Datenquellentyp für diesen Analysebericht ist EDR (Endpoint Detection and Response), wie z. B. Carbon Black, Tanium, CrowdStrike und Sysmon.
Hier findet ihr weitere praktische Tipps zum Schutz eures Unternehmens im neuen „Work-From-Home“-Zeitalter.
Vielen Dank an alle Mitwirkenden an diesem Blogbeitrag, Bryan Sadowski, Lily Lee, Rene Aguero, James Brodsky, Chris Simmons.
*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier: Securing a New Way of Working: Wait, What’s This Thing Running on Your Machine? (17. März 2020).
