Innerhalb eines Security Operations Center (SOC) führt das Ergebnis einer erfolgreichen Untersuchung häufig zu einer Sperraktion. Sobald der Analyst eine schädliche Datei (über ihren SHA256-Hash) entdeckt oder einen „Command & Control“-Server (über seine IP-Adresse oder seinen Domänennamen) identifiziert hat, muss er sicherstellen, dass diese Bedrohung nie wieder mit dem Netzwerk des Unternehmens interagieren kann.
Im Microsoft 365-Ökosystem besteht dieser Vorgang aus der Injektion von aIndikator für Kompromisse (IOC)Geben Sie „Blockieren“ in Defender für Endpunkt ein.
Ein häufiger Fehler unter Junior-Administratoren besteht jedoch darin, diese Blöcke dauerhaft zu konfigurieren („Niemals ablaufen“). Diese Praxis führt unweigerlich einige Monate später zu größeren Netzwerkausfällen. Finden Sie heraus, warum „Best Practice“ der Branche eine strikte Gültigkeit von erfordert90 Tageund wie der Akuity SOC-Orchestrator diese Regel standardmäßig anwendet.
Der IOC-Blockierungsmechanismus in Microsoft Defender
Microsoft Defender für Endpoint verfügt über eine leistungsstarke Funktion: die benutzerdefinierte Verwaltung von Bedrohungsindikatoren. Zugriff über native API/api/indicatorsMit dieser Funktion können Administratoren Prioritätsregeln festlegen, die die Entscheidungen des Basis-Antivirenprogramms außer Kraft setzen.
Wenn eine Aktion auf „Blockieren“ eingestellt ist, ist das Verhalten radikal:
- Datei-Hash (SHA256):Wenn Windows Defender eine mit diesem Hash übereinstimmende Datei auf der Festplatte eines Benutzers erkennt, wird die Ausführung blockiert und die Datei automatisch unter Quarantäne gestellt oder gelöscht.
- IP-Adressen/Domänen:Dank des Netzwerkschutzes (Network Protection) von Defender wird jede eingehende oder ausgehende Kommunikation zu dieser Infrastruktur direkt auf der Netzwerkebene der Maschine blockiert, unabhängig von der verwendeten Anwendung (Chrome, Edge oder ein verstecktes Skript).
Warum ist eine dauerhafte Sperrung (niemals ablaufen) gefährlich?
Der erste Instinkt eines Analytikers besteht darin, zu denken:„Wenn dieser Server heute Malware hostet, möchte ich sie für immer blockieren“. Diese Logik übersieht eine grundlegende technische Realität des Internets:Infrastruktur-Recycling.
- Die Vergänglichkeit von Cloud-IPs:Die überwiegende Mehrheit der Angriffe erfolgt heute über virtuelle Server, die von AWS, Google Cloud, DigitalOcean oder OVH gemietet werden. Cyberkrimineller mietet Server und erhält IP
192.168.x.x(zum Beispiel), startet seinen Angriff und zerstört dann den Server. Einige Tage später wird dieselbe öffentliche IP-Adresse vom Cloud-Anbieter einem völlig legitimen Startup zugewiesen. Wenn Sie diese IP dauerhaft gesperrt haben, können Ihre Mitarbeiter nicht mehr auf die Website dieses Startups zugreifen. - Bereinigung von Domainnamen (Sinkholing):Wenn ein bösartiger Domainname von den Behörden (Europol, FBI) entdeckt wird, wird er häufig beschlagnahmt (Sinkholed). Es stellt keine Bedrohung mehr dar und dient manchmal als sicherer Weiterleitungsserver zur Identifizierung von Opfern.
- Verschmutzung von Firewalls:Die Anhäufung Tausender veralteter Blockierungsregeln verlangsamt die Filter-Engines und führt zu einem Wartungsalptraum (technische Schulden) für Netzwerkteams, die eines Tages herausfinden müssen, warum ein bestimmter Partnerdienst nicht zugänglich ist.
Die goldene 90-Tage-Regel: Perfekte Balance
Die Cybersicherheitsbranche (insbesondere Threat Intelligence-Teams wie die von AlienVault OTX) ist der Ansicht, dass die „nützliche“ Lebensdauer eines mit der Netzwerkinfrastruktur verbundenen Kompromittierungsindikators sehr kurz ist. Die IP-Adresse eines Angreifers ändert sich oft in weniger als 48 Stunden.
Die Dauer von90 Tage (3 Monate)bietet die perfekte Balance:
- Es deckt größtenteils die Dauer einer aktiven oder dauerhaften Angriffskampagne (APT) ab.
- Es gibt dem Unternehmen Zeit, die ursprüngliche Schwachstelle zu beheben (Patch-Management).
- Es stellt sicher, dass sich die Microsoft Defender-Sperrliste (Indikatorliste) selbst bereinigt und so zukünftige Fehlalarme bei recycelten IP-Adressen verhindert.
Intelligente Automatisierung mit Akuity SOC
In herkömmlichen Admin-Portalen erfordert die Festlegung des genauen Ablaufdatums die manuelle Berechnung der Tage in einem Kalender. Für den SOC-Analysten ist dies mitten in der Notfallsanierung eine unnötige Reibung.
Der OrchestratorAkuity SOCgilt „Security by Design“. Wenn der Analyst im Ticketbereich der Plattform auf die Korrekturmaßnahme klickt„IOC blockieren“(blockIocOnTenant), kümmert sich die Middleware um die technische Logik.
Nach der Validierung der doppelten Authentifizierung des Analysten (AAL2-Ebene erforderlich, um globale Regeln zu ändern, die sich auf den gesamten Mandanten auswirken) fälscht das System die Nutzlast der Anfrage für die Defender-API. Es fügt automatisch den Aktionsparameter ein"Block"und generiert ein Ablaufdatum von genauNow + 90 Days.
Der Analyst muss sich keine Sorgen um die Pflege seiner IOC-Liste machen. Das System schützt sich sofort vor dem aktuellen Angriff und vermeidet gleichzeitig die Entstehung technischer Schulden über Monate hinweg.
Industrialisieren Sie Ihre Threat Intelligence, ohne technische Schulden zu machen.> Erfahren Sie, wie Sie Ihre Sperrlisten mit unserem Modul intelligent verwaltenEvaluierung und Blockierung von IOCs mit AlienVault.