In der Geräteschutzrichtlinie definieren die Aurora Focus Einstellungen, welche Erkennungs- und Reaktionsmechanismen aktiviert sind und wie sichtbar der Sensor (Agent) auf Endgeräten sein soll. Diese Einstellungen sind jedoch nur wirksam, wenn Aurora Focus lizenziert und installiert ist. Dadurch wird bestimmt, welche Telemetriedaten gesammelt und welche Maßnahmen bei erkannten Bedrohungen ergriffen werden.
Die Focus-Einstellungen bestimmen, wie sichtbar der Agent ist und welche Erkennungs- und Reaktionsmaßnahmen aktiv sind. Wenn aktiviert, sammelt der Focus-Agent kontinuierlich Daten und führt konfigurierbare Analysen durch. Das automatische Hochladen von Focus-Daten bei Bedrohungen oder Speicherschutzereignissen ermöglicht sofortigen Zugriff auf tiefergehende Analysen in der Protect-Konsole. Alternativ kann der Datenabruf manuell erfolgen. Der Speicherbereich für Daten beträgt 500 bis 1000 MB.
Focus
Der Focus-Agent wird aktiviert und führt Datenerfassungs-, Erkennungs- sowie Reaktionsfunktionen aus, entsprechend den Vorgaben in den Richtlinieneinstellungen.
Automatisches Hochladen von Focus-Daten bei Bedrohungen
Ermöglicht sofortigen Zugriff auf die Protect-Analyse, um Einblicke in die Ursprünge einer von Protect erkannten Bedrohung zu gewähren. Wenn das automatische Hochladen deaktiviert wird, muss die Focus-Ansicht bei Bedarf abgerufen werden.
Automatisches Hochladen von Focus-Daten zum Speicherschutz
Ermöglicht den sofortigen Zugriff auf die Protect-Analyse, um Einblick in die Ursprünge eines von Protect identifizierten Speicherschutzereignisses zu erhalten. Um das automatische Hochladen zu deaktivieren, müssen Sie die Focus-Ansicht auf Abruf anfordern.
Konfigurierbare Sensoren erweitern die Ereigniserfassung des Focus-Agenten über die Standarddaten hinaus, einschließlich DNS, Netzwerk, PowerShell, WMI und API. Dies ermöglicht tiefere Analysen, kann jedoch die Dauer der lokalen Speicherung verkürzen. Die Erkennungseinstellungen aktivieren definierte Regelsätze zur Bedrohungserkennung. Ist die Datenerfassung deaktiviert, werden keine Regeln ausgelöst. Mit Desktop-Benachrichtigungen können Endnutzer direkt am Gerät über Erkennungen informiert werden.
Erklärung der Sensoren:
DNS-Sichtbarkeit
Technik: Erfasst DNS-Abfragen und Antworten, um Domains zu protokollieren, die von Prozessen angefragt werden.
Szenario: Schadsoftware nutzt DNS zur Kommunikation mit Command-and-Control-Servern (C2) oder zum Auflösen verdächtiger Domains.
Aurora Schutz: Erkennt und analysiert verdächtige oder häufig genutzte Domains zur schnellen Bedrohungszuordnung.
Sichtbarkeit der privaten Netzwerkadresse
Technik: Zeichnet interne IP-Adressen, Subnetze und Verbindungsziele auf.
Szenario: Angreifer bewegen sich seitlich im Netzwerk oder kommunizieren mit internen Diensten.
Aurora Schutz: Unterstützt die Bedrohungsjagd durch die Zuordnung von Aktivitäten zu internen Ressourcen.
Sichtbarkeit des Windows-Ereignisprotokolls
Technik: Liest sicherheitsrelevante Events aus den Windows-Eventlogs, darunter Anmeldungen und Systemänderungen.
Szenario: Misslungene Anmeldungen, Policy-Änderungen oder das Hinzufügen neuer Dienste deuten auf potenzielle Angriffe hin.
Aurora Schutz: Führt eine korrelierte Analyse zwischen Agent-Daten und Windows-Ereignissen durch für eine genauere Alarmierung.
Sichtbarkeit der erweiterten Überwachung von Windows
Technik: Aktiviert zusätzliche Audit-Protokollierung auf dem System, z. B. für Zugriffe auf sensible Objekte.
Szenario: Unbefugte Zugriffe auf wichtige Systembereiche wie Registry, Prozesse oder Systemdateien.
Aurora Schutz: Nutzt die detaillierte Protokollierung, um verdächtige Systeminteraktionen und Eskalationen zu erkennen.
Sichtbarkeit der erweiterten PowerShell-Überwachung
Technik: Erfasst PowerShell-Befehle, Skriptinhalte und Aufrufe in Echtzeit.
Szenario: Angreifer nutzen PowerShell für dateilose Angriffe und zur Informationsauskundschaftung.
Aurora Schutz: Führt eine detaillierte Verhaltensanalyse durch und ordnet verdächtige PowerShell-Aktivitäten Bedrohungen zu.
Sichtbarkeit der erweiterten WMI-Überwachung
Technik: Überwacht Windows Management Instrumentation (WMI)-Aufrufe und Klassen.
Szenario: Malware nutzt WMI zur Etablierung persistenter Angriffe, zum Auslesen von Prozesslisten oder für Remote-Zugriffe.
Aurora Schutz: Identifiziert atypische oder verdächtige WMI-Nutzung, oft ein Indikator für APT-Aktivitäten.
Erweiterte Syntaxanalyse von Portable Executables
Technik: Analysiert den Aufbau und Inhalt von PE-Dateien (beispielsweise EXE, DLL) beim Laden oder Schreiben.
Szenario: Dropper oder In-Memory-Loader verwenden manipulierte PE-Dateien.
Aurora Schutz: Untersucht PE-Strukturen auf Anomalien und typisches Verhalten von Angreifern.
Verbesserte Sichtbarkeit von Prozessen und Hooking
Technik: Überwacht Prozessstarts und Versuche des API-Hookings in laufenden Anwendungen.
Szenario: Malware injiziert sich in Prozesse oder manipuliert API-Aufrufe.
Aurora Schutz: Erkennt Prozessinjektionen, verdächtige Eltern-Kind-Verhältnisse und Versuche des Hookings.
Verbesserte Sichtbarkeit von Dateilesevorgängen
Technik: Erfasst, welche Prozesse welche Dateien lesen, einschließlich der nicht ausgeführten Dateien.
Szenario: Angreifer scannen System-, Registry- und Konfigurationsdateien.
Aurora Schutz: Ermöglicht die Rückverfolgung von Informationsdiebstahl und die Identifizierung verdächtiger Zugriffe.
API-Sensor
Technik: Protokolliert ausgewählte API-Aufrufe, um die Nutzung sicherheitsrelevanter Systemfunktionen zu erkennen.
Szenario: Schadcode nutzt gezielte APIs für Injektionen, Privilegienerweiterung oder Netzwerkzugriffe.
Aurora Schutz: Führt eine korrelierte Analyse verdächtiger API-Nutzung zur Bedrohungserkennung durch.
Sichtbarkeit von COM-Objekten
Technik: Erfasst die Initialisierung und Verwendung von COM-Komponenten, beispielsweise Shell.Application.
Szenario: Angreifer verwenden COM-Objekte zur Codeausführung, insbesondere durch Office-Dokumente.
Aurora Schutz: Erkennt bekannte Living off the Land Binaries (LOLBins) und den Missbrauch von Systemkomponenten.
Sichtbarkeit der Modullast
Technik: Überwacht das Laden von DLLs und anderen Modulen in Prozesse.
Szenario: Eine DLL wird durch einen schadhaften Prozess nachgeladen oder ausgetauscht.
Aurora Schutz: Erkennt ungewöhnliche oder nicht signierte Module und korreliert diese mit dem Verhalten des Prozesses.
HTTP-Sichtbarkeit
Technik: Protokolliert HTTP-Verbindungen und Anfragen, selbst ohne umfassende Paketanalyse.
Szenario: C2-Kommunikation, Datenexfiltration oder der Download bösartiger Inhalte.
Aurora Schutz: Identifiziert Indikatoren für netzwerkbasierte Angriffe, beispielsweise exfiltrierende Prozesse.
Wendet den ausgewählten Erkennungsregelsatz an. Wenn die Fokus-Datenerfassung deaktiviert ist, lösen Ereignisse keine Erkennungsregeln aus.
Technik: Die Erkennungseinstellungen aktivieren einen vordefinierten Regelsatz, der kontinuierlich analysiert, ob bestimmte Ereignisse – wie verdächtige Prozessverläufe, ungewöhnliche API-Nutzung oder Zugriffsmuster – auf ein potenzielles Sicherheitsrisiko hindeuten.
Szenario: Wird beispielsweise ein verdächtiger PowerShell-Prozess gestartet oder ungewöhnliches Verhalten bei einer DLL-Injektion festgestellt, prüft der Regelsatz, ob dieses Verhalten einem bekannten Angriffsvektor entspricht, und generiert eine entsprechende Alarmierung oder Reaktion.
Wichtiger Hinweis: Wenn die Fokus-Datenerfassung deaktiviert ist, sammelt der Agent keine Telemetriedaten. Folglich werden keine Regeln ausgelöst, da die erforderlichen Ereignisdaten fehlen. Es handelt sich daher um eine Voraussetzung für eine funktionierende Echtzeiterkennung.
Aurora Schutz: Aktivierte Erkennungsregeln ermöglichen eine proaktive Bedrohungserkennung auf Endpunkten. Diese Regeln können kontinuierlich angepasst oder aktualisiert werden, um auf neue Angriffstechniken zu reagieren.