Paul EwingSandiya Ramamoorthy

Von der Hypothese zur Handlung: Proaktive Bedrohungssuche mit elastischer Sicherheit

Elastic Security wurde entwickelt, um hypothesengetriebene Bedrohungsanalysen schnell und in großem Umfang zu ermöglichen. Durch die Vereinheitlichung der Sicherheitstelemetrie und die Ermöglichung von Analysen über Cluster hinweg können Bedrohungsanalysten komplexe Fragen zu all ihren Daten stellen, Signale korrelieren und Hypothesen schnell validieren, ohne die Daten manuell zusammenführen zu müssen.

6 Minuten LesezeitProduktupdates
Von der Hypothese zur Handlung: Proaktive Bedrohungssuche mit elastischer Sicherheit

Wenn eine neue Technik eines Bedrohungsakteurs auftaucht – sei es aus einem Forschungsblog, einem Geheimdienstfeed oder aus aktuellen Nachrichten – schaltet jeder Bedrohungsanalyst instinktiv in den Hypothesenmodus. Könnte das in meiner Umgebung passieren? Verbergen sich frühe Signale im Rauschen?

Nehmen wir die jüngste Studie zu Mautstellen als Beispiel. Sobald Elastic Security Labs die Angriffskette veröffentlichte, könnte ein Analyst beginnen, Hypothesen auf der Grundlage der beschriebenen spezifischen Techniken aufzustellen, wie zum Beispiel:

  • Haben in der Vergangenheit eingefrorene oder archivierte IIS-Serverprotokolle bei einer erneuten Untersuchung mit vollständiger Telemetrie irgendwelche Anomalien gezeigt?
  • Gibt es Anzeichen für das Auslesen von Anmeldeinformationen oder Versuche zur Rechteausweitung auf irgendeinem IIS-Server?

Das ist das Wesen der hypothesengetriebenen Jagd: Man beginnt mit einer sich entwickelnden Bedrohung und stellt schnell gezielte Fragen. Es ist eine der effektivsten Methoden, um neuen Angriffen einen Schritt voraus zu sein, aber sie erfordert umfassende Transparenz und Werkzeuge, die mit Ihrer Neugierde Schritt halten können.

Die Realität sieht für viele SOC-Teams jedoch anders aus. Sie stehen vor Datensilos, begrenzten Suchmöglichkeiten und der Ermüdung durch manuelle Korrelation.

Elastic Security wurde entwickelt, um diese Barrieren zu beseitigen, indem es eine hypothesengetriebene Bedrohungssuche in hohem Tempo und Umfang ermöglicht. Durch die Vereinheitlichung der Sicherheitstelemetrie und die Ermöglichung von Analysen über Cluster hinweg können Bedrohungsanalysten komplexe Fragen zu all ihren Daten stellen, Signale korrelieren und Hypothesen schnell validieren, ohne die Daten manuell zusammenführen zu müssen.

Diese Funktionalität wird durch eine Reihe grundlegender Bausteine bereitgestellt, die zusammenarbeiten:

  • Agentische Workflows priorisieren Warnmeldungen, während ein wissensbasierter KI-Assistent validierte ES|QL-Abfragen generiert, die Behebung des Problems vorantreibt und nächste Schritte empfiehlt.

  • Elastic Security Labs werden kontinuierlich aktualisierte Bedrohungsforschung und Erkenntnisse über Angreifer direkt in Erkennungs- und Untersuchungsprozesse einfließen lassen.

  • Erkennungsregeln , die sofort einsatzbereite Abdeckung bieten und auf reale Angriffstechniken und Jagdszenarien abgestimmt sind.

  • Entitätsanalysen zur Korrelation von Benutzern, Hosts und Diensten, zur Vergabe von Risikobewertungen und zum Aufdecken von Anomalien, um jede Untersuchung zu bereichern.

  • Maschinelles Lernen und Anomalieerkennung zur Aufdeckung von Abweichungen vom normalen Verhalten und zur Ermittlung unbekannter oder neu auftretender Bedrohungen.

  • ES|QL, Visualisierungen und clusterübergreifende Suche ermöglichen schnelle, ausdrucksstarke Abfragen, intuitive Analysen und nahtloses Suchen in verteilten Umgebungen ohne blinde Flecken.

Zusammen bieten diese Bausteine den Sicherheitsteams die Geschwindigkeit, den Umfang und die analytische Tiefe, die sie benötigen, um von reaktiven Untersuchungen zu einer selbstbewussten, proaktiven Bedrohungsjagd überzugehen – und Hypothesen über alle ihre Daten hinweg innerhalb einer einzigen, einheitlichen Elastic Security-Plattform zu testen.

In den Wald: Eine reale LOLBins-Jagd

Dieser Abschnitt zeigt, wie eine Bedrohungssuche in der Praxis abläuft, von einer leeren Suchleiste bis hin zu einer bestätigten und eingedämmten Bedrohung anhand eines realen Szenarios mit Schwerpunkt auf Living Off the Land Binaries (LOLBins).

Entwickeln Sie Ihre Hypothese mit einem RAG-gestützten KI-Assistenten

Ihre Recherche kann bereits beginnen, bevor Sie auch nur eine einzige Anfrage formulieren. Mit dem von Elastic bereitgestellten KI-Assistenten, der auf Retrieval-Augmented Generation (RAG) basiert, können Sie vertrauenswürdige Wissensquellen wie die Forschung der Elastic Security Labs einbeziehen und so die Grundlage für Ihre Hypothese schaffen. Sie können beliebige vertrauenswürdige Quellen als Wissensquelle hinzufügen, um sicherzustellen, dass der Assistent die Daten widerspiegelt, auf die Sie sich verlassen.

Falls Sie noch kein konkretes Ziel haben, können Sie den Assistenten fragen.

„Mit welcher Hypothese sollte ich heute meine Suche beginnen, basierend auf den aktuellen Trends?“ Der Assistent durchsucht die konfigurierte Wissensdatenbank, die relevanten Kontext liefert, und generiert direkt eine primäre Hypothese sowie unterstützende Gründe und Belege. In diesem Szenario wurden Inhalte von Elastic Security Labs in die Wissensdatenbank aufgenommen, um den Kontext zu liefern.

Lehnen Sie sich zurück, während der KI-Assistent Ihre maßgeschneiderte Bedrohungsanalyse-Abfrage erstellt.

Sobald Sie die LOLBin-Hypothese akzeptieren, generiert der KI-Assistent eine präzise ES|QL-Abfrage zur Bedrohungssuche, die auf Ihre Umgebung zugeschnitten ist. Anstatt komplexe Syntax von Grund auf neu zu schreiben, erhalten Sie eine zielgerichtete Suche, die darauf ausgelegt ist, die spezifischen verdächtigen Verhaltensweisen aufzudecken.

Um sicherzustellen, dass Abfragen ausgeführt werden können, verwendet der Elastic AI Assistant einen agentenbasierten Workflow, um maßgeschneiderte ES|QL-Abfragen aus von Menschen bereitgestellten Anwendungsfällen zu generieren. Es greift auf Ihre Elastic-Clusterdaten zurück, um präzise, sofort ausführbare Antworten zu erstellen, und führt eine automatische Validierung durch, bevor die endgültige Abfrage zurückgegeben wird. Diese Hintergrundvalidierung macht eine manuelle Fehlersuche überflüssig und liefert eine verifizierte, sofort einsatzbereite Abfrage, die direkt aus dem KI-Assistenten in Ihre Untersuchungszeitleiste übernommen werden kann.

Alternativ können Sie ein GitHub-Repository mit den Threat-Hunting-Abfragen von Elastic mit der Wissensdatenbank des Assistant verknüpfen, um bestehende Abfragen als Grundlage für Ihre nächsten Schritte zu nutzen.

Spüren Sie Bedrohungen in Ihrer gesamten Umgebung mit ES|QL auf.

Wenn Sie eine globale Umgebung verwalten und feststellen müssen, ob diese Aktivität auch in anderen Clustern auftritt, können Sie Ihre Hypothese erweitern, indem Sie den KI-Assistenten bitten, die Abfrage für eine clusterübergreifende Suche (Cross-Cluster Search, CCS) anzupassen. Dies ermöglicht Ihnen die Suche über mehrere Cluster in Ihrer Umgebung hinweg – einschließlich eingefrorener und langfristiger Daten – ohne Ihren Untersuchungsablauf zu unterbrechen.

Wechseln Sie nahtlos vom KI-Assistenten zur Zeitleistenansicht und führen Sie die Abfrage aus. Diese gezielte Suche fördert einen entscheidenden Befund zutage: eine Instanz von rundll32.exe, die auf einem Windows-Server mit dem Hostnamen elastic-defend-endpoint unter dem Benutzerkonto gbadmin * ausgeführt wird.

Fügen Sie Kontext durch Analysen und Visualisierungen hinzu.

Das Auffinden eines Treffers ist nur der erste Schritt; nun müssen Sie feststellen, ob es sich um einen Administrator handelt, der Wartungsarbeiten durchführt, oder um einen tatsächlichen Angriff. Die Validierung Ihrer Ideen erfordert tiefgreifende Analysen über Hosts und Nutzer hinweg. Durch eine detaillierte Untersuchung des betroffenen Hosts gelangen Sie zu den Entitätsdetails.

Hier sehen Sie nicht nur einen Hostnamen. Sie sehen eine konsolidierte Ansicht der Risikobewertung des Hosts, der spezifischen Warnmeldungen, die zu dieser Bewertung beitragen, und der Kritikalität des Assets – alles an einem Ort. Durch die Zusammenführung von Erkennungssignalen, Verhaltensanomalien und der Bedeutung von Assets hilft das Entity Risk Scoring von Elastic Analysten, schnell zu verstehen, warum ein Asset riskant ist, wie dringlich die Bedrohung ist und wo der Fokus zuerst liegen sollte. Dieser einheitliche Kontext verkürzt die Untersuchungszeit, minimiert Spekulationen und ermöglicht eine sichere Priorisierung in Umgebungen mit hohem Arbeitsaufkommen.

Bestätigen Sie die Anomalie mit maschinellem Lernen

Wenn Sie die Risikobewertung prüfen, werden Ihnen die entsprechenden Belege angezeigt. Sie können die spezifischen Warnmeldungen sehen, die zu der erhöhten Risikobewertung beitragen, darunter eine Mischung aus Warnmeldungen mittlerer Schwere und einer Machine-Learning-Warnung (ML) wie z. B. „Ungewöhnliche Windows-Pfadaktivität“.

Da ML in einzigartiger Weise geeignet ist, subtile Abweichungen zu erkennen, die statische Regeln oft übersehen, hilft es, wenn eine ML-Warnung zur Risikobewertung beiträgt, zu bestätigen, dass es sich bei dieser Aktivität nicht nur um Rauschen handelt – sie weist auf eine aussagekräftige Verhaltensanomalie hin.

Die Ereignisdetails visualisieren unmittelbar den Ablauf des Prozesses und zeigen die entscheidenden Beweise direkt im Bedienfeld an. Diese Erkenntnisse verwandeln Ihre Hypothese von plausibel zu beweisbar.

Handeln: Von der Erkenntnis zur Reaktion

Nachdem Sie Ihre Hypothese durch das Aufdecken verdächtiger Aktivitäten bestätigt haben, ist der nächste Schritt die Reaktion. Elastic Security ermöglicht es Einsatzkräften, direkt aus ihren Ermittlungen heraus zu agieren, ohne die Plattform wechseln zu müssen.

Sobald ein kompromittierter Host bestätigt ist, können Sie über die Konsole Maßnahmen ergreifen, indem Sie den Host isolieren, um eine seitliche Ausbreitung zu verhindern, oder den bei Ihrer LOLBIN-Suche aufgedeckten bösartigen Prozessbaum beenden. Dieser nahtlose Übergang von der Untersuchung zur Reaktion ermöglicht eine schnelle Eindämmung unter Verwendung der gleichen Werkzeuge und im gleichen Kontext.

Abfragen operationalisieren und die Suche automatisieren

Um zukünftige Suchvorgänge zu automatisieren und die manuelle Überprüfung wiederkehrender Muster zu vermeiden, können Sie eine Abfrage direkt in eine operative Erkennungsregel importieren oder eine Regel für bestimmte Verhaltensweisen, Anomalien oder neue Termwerte erstellen, die zum ersten Mal auftreten, und diese mit einem einzigen Klick in eine vollständig operative Erkennungsregel umwandeln.

In Unternehmensumgebungen kann eine LOLBin-Suche schnell eine große Anzahl von Warnmeldungen generieren. Hier macht die agentenbasierte Angriffserkennung einen großen Unterschied. Sein Hauptzweck besteht darin, Ihnen bei der effizienten Priorisierung zu helfen, indem Signale automatisch korreliert und die Aktivität hervorgehoben wird, die sofortige Aufmerksamkeit erfordert.

Sie können außerdem jagdbezogene Warnmeldungen gruppieren und kennzeichnen und die Angriffserkennung gezielt auf diese Gruppen anwenden, um aussagekräftige Muster aufzudecken. Diese Flexibilität macht Attack Discovery nicht nur für die automatisierte Alarmpriorisierung wertvoll, sondern auch für fortgeschrittene, hypothesengetriebene Workflows zur Bedrohungsanalyse.

Bonus: Automatisieren Sie mit dem Elastic Agent Builder

Stellen Sie sich vor, Sie erstellen einen benutzerdefinierten LOLBin Hunter-Agenten– speziell entwickelt, um in Ihren Sicherheitsdaten nach LOLBin-Aktivitäten zu suchen. Mit Elastic Agent Builder können Sie diesen Agenten erstellen, der auf einem LLM basiert und mit Tools wie den ES|QL-Abfragen ausgestattet ist, die in Ihrem manuellen Workflow verwendet werden.

Nach der Konfiguration können Sie mit Ihren Sicherheitsdaten in natürlicher Sprache interagieren. Der Agent analysiert Ihre Anfrage, wählt die relevantesten Tools aus und ergreift entsprechende Maßnahmen. Zum Beispiel könnte man fragen: „Zeige mir die LOLBin-Aktivität, die Anomalien im maschinellen Lernen ausgelöst hat, und fasse die betroffenen Hosts und ihre Risikobewertungen zusammen.“

Mit Elastic Security bleiben Sie neuen Angriffen immer einen Schritt voraus.

Hypothesenbasierte Bedrohungsanalyse ist entscheidend, um modernen Angriffen einen Schritt voraus zu sein, kann aber ohne die richtigen Werkzeuge komplex und zeitaufwändig sein. Elastic Security kombiniert KI-gestützte Untersuchung, ES|QL-Suche, Kontextanalyse, maschinelles Lernen und integrierte Reaktion, um jede Phase einfacher und schneller zu gestalten.

Von dem Moment an, in dem eine neue Bedrohung entsteht, bis hin zur Möglichkeit einer konkreten Reaktion, versetzt Elastic Analysten in die Lage, verborgene Signale aufzudecken, ihre Hypothesen zu überprüfen und entschlossen zu handeln – Rohdaten werden zu Erkenntnissen und Erkenntnisse zu Maßnahmen.

Sie möchten mehr über Elastic Security erfahren? Stöbern Sie in unseren Webinaren, Veranstaltungen und mehr oder starten Sie noch heute Ihre kostenlose Testphase .

Diesen Artikel teilen

FacebookLinkedInReddit (Englisch)