EventLog Analyzer-Tipp: So automatisieren Sie die Reaktion auf Sicherheitsvorfälle mit Workflows

Unternehmen werden heute täglich mit hunderten von Sicherheitsvorfällen konfrontiert. Da im Falle eines Angriffs eine sofortige Reaktion entscheidend ist, um den Schaden für das Unternehmen möglichst gering zu halten, benötigen IT-Abteilungen ein möglichst umfassendes Incident-Response-System.

Das mag zunächst nach einer großen Herausforderung klingen. In vielen Fällen helfen allerdings bereits automatisierte Incident Workflows, die sich in Lösungen wie der IT-Compliance- und Log-Management-Lösung EventLog Analyzer von ManageEngine einfach einrichten lassen bzw. teilweise bereits vorkonfiguriert sind.

Einmal eingerichtet, führt die Lösung die Workflows automatisch aus, sobald ein entsprechender Alarm ausgelöst wird. Das spart nicht nur Zeit und Mühe, sondern hilft auch potentielle Schäden zu minimieren oder ganz zu verhindern.

Welche Vorteile die Verwendung von Incident Workflows bieten und wofür Sie diese einsetzen können, haben wir in diesem Artikel für Sie zusammengefasst. Zudem geben wir Ihnen Tipps, wie Sie automatisierte Workflows für Incident-Warnungen inEventLog Analyzer einrichten bzw. anpassen können.

Was ist ein Incident Workflow?

Ein Incident Workflow beschreibt die Abfolge von Schritten, die nach einem bestimmten Sicherheitsvorfall unternommen werden. Jedes Mal, wenn ein potenzieller Sicherheitsvorfall erkannt wird, führen diese Workflows automatisch eine Reihe allgemeiner Abhilfemaßnahmen aus. Klassische Beispiele für automatisierte Aktionen bei Sicherheitsvorfällen sind das Herunterfahren von Systemen, das Sperren von Benutzern oder das Deaktivieren von USB-Ports.
Ausgelöst werden die Incident Workflows in EventLog Analyzer durch entsprechende Sicherheitswarnungen, mit denen sie verknüpft sind. Sobald der entsprechende Alarm ausgelöst wird, wird der verknüpfte Workflow automatisch durchgeführt.

Welche Vorteile bieten automatisierte Incident Workflows und wofür lassen sie sich einsetzen?

Das Anlegen von Workflows, die im Falle eines Sicherheitsvorfalls automatisiert ablaufen, bieten verschiedene Vorteile, u. a.:

Grüne Box mit Zahl 1

Schadensbegrenzung bei Angriffen:
In der digitalen Welt genügen einem Angreifer wenige Sekunden, um eine Menge Probleme zu verursachen. Automatisierte Reaktionen tragen wesentlich dazu bei, den potenziellen Schaden für Ihr Netzwerk einzudämmen bzw. möglichst gering zu halten.

Grüne Box mit Zahl 2

Geringere „Alarm-Müdigkeit“ der Administratoren:
Hunderte Warnmeldungen an einem Tag sind in vielen Unternehmen keine Seltenheit und machen es den IT-Administratoren nicht gerade einfach, die wirklich wichtigen Alarme im Blick zu behalten. Durch automatisierte Arbeitsabläufe wird die Zeit, die für die Beantwortung jeder einzelnen Meldung aufgewendet werden muss, deutlich reduziert oder komplett gestrichen. Das hilft, eine „Alarm-Müdigkeit“ der Mitarbeiter zu vermeiden.

Optimaler Einsatz des IT Security Teams:
Da die Lösung den Mitarbeitern die banalen, sich wiederholenden Aktionen als Reaktion auf Incident-Warnungen abnimmt, haben diese mehr Zeit für komplexere Incidents oder Sicherheitsprobleme, die ihre Aufmerksamkeit erfordern. Oder sie können sich auf Projekte konzentrieren, die Ihr Unternehmen voranbringen, anstatt es nur auf Kurs zu halten.


Beispiele für den Einsatz von automatisierten Incident Workflows:

  • Schützen Sie Daten vor böswilligen Insidern:
    Unternehmen sind meist so auf die Abwehr externer Angreifer konzentriert, dass die Gefahr durch böswillige Insider leicht unterschätzt wird. Allerdings lässt sich das Risiko, dass Mitarbeiter den physischen Zugriff auf Server oder Geräte nutzen, um Daten über einen Wechseldatenträger zu entwenden, mit automatisierten Workflows deutlich reduzieren. So bietet EventLog Analyzer beispielsweise einen integrierten Workflow, der den USB-Anschluss eines potentiell kompromittierten Gerät deaktiviert und eine Warnung an den Admin versendet. Wenn Sie diesen Workflow mit einem Alarm verknüpfen, der beim Anschließen eines USB-Sticks an einen wichtigen Server außerhalb der Geschäftszeiten ausgelöst wird, verhindern Sie effektiv, dass Mitarbeiter vertrauliche Informationen stehlen – und können den Incident später in aller Ruhe untersuchen.
     
  • Deaktivieren Sie gefährdete Systeme in Ihrem Netzwerk:
    Verschaffen sich Angreifer Zugang zu Ihrem Netzwerk über ein kompromittiertes Benutzerkonto, versuchen sie möglicherweise, Protokolle von den Rechnern zu löschen, um länger unentdeckt zu bleiben oder ihre weitere Präsenz im Netzwerk zu verbergen. Auch hier können Sie einen vorkonfigurierten automatisierten Workflow in EventLog Analyzer nutzen, der ein kompromittiertes Benutzerkonto abmeldet und deaktiviert. Sie müssen den Workflow lediglich mit einem Alarm verknüpfen, der beim Löschen von Sicherheitsprotokollen von einem Rechner ausgelöst wird, um Angreifer effektiv von Ihrem Netzwerk abzuschneiden.

1. So verwenden Sie die vordefinierten Incident Workflows in EventLog Analyzer

EventLog Analyzer bietet standardmäßig mehrere vordefinierte Workflows für gängige Reaktionsschritte wie das Deaktivieren kompromittierter Computer oder das Sperren von kompromittierten Konten oder böswilligen Benutzern. Um diese zu implementieren, müssen Sie die vordefinierten Workflows lediglich mit den Sicherheitswarnungen verknüpfen (siehe 3. So verknüpfen Sie einen Workflow mit einer Sicherheitswarnung).

Wenn Sie sich die vorkonfigurierten Workflows im EventLog Analyzer anzeigen lassen oder diese bearbeiten möchten, klicken Sie auf der Registerkarte Alerts oben rechts auf das Zahnrad und wählen im Dropdown-Menü „Workflow“. Jetzt wird Ihnen eine Liste aller Workflows, inkl. Beschreibungen, die Anzahl der mit jedem Workflow verbundenen Alarmprofile und die Workflow-Historie angezeigt. Sie können Workflows aktivieren oder deaktivieren, löschen, bearbeiten und kopieren, indem Sie auf die entsprechenden Symbole klicken.

Hinweis:
Die vorkonfigurierten Workflows können nicht deaktiviert oder gelöscht werden.

Folgende Workflows sind standardmäßig bereits in EventLog Analyzer enthalten:

Workflow-NameBeschreibung
Block USBDieser Workflow blockiert den USB-Port eines potentiell kompromittierten Geräts und sendet den Status per E-Mail an den Administrator.
Disable ComputerDieser Workflow deaktiviert einen potentiell kompromittierten Computer und sendet den Status per E-Mail an den Administrator.
Kill ProcessDieser Workflow beendet einen Prozess auf einem potentiell kompromittierten Gerät und sendet den Status per E-Mail an den Administrator.
Log Off and Disable UserDieser Workflow meldet ein potentiell kompromittiertes Benutzerkonto ab, deaktiviert dieses und sendet den Status per E-Mail an den Administrator.
Popup AlertDieser Workflow blendet eine Popup-Meldung auf dem betroffenen Gerät ein und sendet den Status per E-Mail an den Administrator.
Stop ServiceDieser Workflow stoppt einen Dienst auf einem potentiell kompromittierten Gerät und sendet den Status per E-Mail an den Administrator.
Screenshot EventLog Analyzer: Vorkonfigurierte Workflows
Screenshot EventLog Analyzer: Die Lösung enthält standardmäßig bereits einige vorkonfigurierte Workflows.

2. So erstellen Sie eigene Incident Workflows in EventLog Analyzer

Neben den vorkonfigurierten Workflows können Sie auch benutzerdefinierte Incident Workflows in EventLog Analyzer erstellen. Mit dem integrierten Workflow Builder lassen sich Arbeitsabläufe einfach und flexibel per Drag & Drop erstellen. Sie können dabei auf eine Vielzahl vordefinierter Aktionen zurückgreifen, individuelle Einstellungen festlegen und die Aktionen in der gewünschten Reihenfolge anordnen. So können Sie genau die Workflows erstellen, die Ihren Anforderungen entsprechen.

So legen Sie einen neuen Workflow an:

  • Klicken Sie in EventLog Analyzer auf der Registerkarte Alerts auf das Zahnrad oben rechts und wählen Sie „Workflows“ aus dem Dropdown-Menü aus.
  • Klicken Sie auf die Schaltfläche „+Create Workflow“.
  • Geben Sie einen Namen für den Workflow in das Feld „Workflow-Name“ ein.
  • Klicken Sie auf den Link „Description“ neben dem Feld „Workflow-Name“, um eine Beschreibung für den Workflow einzugeben.
  • Nun können Sie den Workflow erstellen, indem Sie die Workflow-Blöcke aus dem linken Bereich in den dafür vorgesehenen Bereich ziehen und dort ablegen. Stellen Sie sicher, dass diese Blöcke logisch angeordnet sind, um ein Ereignis in Ihrer Infrastruktur auszuführen.
  • Sie können für jeden Logikblock eine kurze Beschreibung eingeben, um seinen Zweck im Workflow festzuhalten. Dies erleichtert das Verständnis und die spätere Bearbeitung.
  • Wenn Sie fertig sind, klicken Sie auf „Save“.  
Screenshot EventLog Analyzer: Workflow Builder
Screenshot EventLog Analyzer: Mit dem integrierten Workflow Builder können Sie per Drag & Drop einfach eigene Workflows erstellen.

Tipp: Workflow bearbeiten
Um einen bestehenden Workflow zu bearbeiten, klicken Sie auf das Stift-Symbol neben dem Namen des Workflows auf der Seite „Manage Workflow“.

Zusatztipp:
EventLog Analyzer enthält mehrere Workflow-Blöcke, die Ihnen helfen, Workflows zu konfigurieren, um die erforderlichen Aktionen auszuführen. Weitere Informationen zu den Logikblöcken, und was diese bewirken, finden Sie hier im englischen User Guide.

3. So verknüpfen Sie Incident Workflows mit Warnmeldungen in EventLog Analyzer

Ob vorkonfigurierter oder eigener Incident Workflow: Die automatisierten Arbeitsabläufe werden nur ausgelöst, wenn Sie definieren, in welchen Fällen diese durchgeführt werden sollen.

Dazu müssen Sie die Workflows mit den passenden Alarmen verknüpfen. Anschließend wird der Workflow automatisch ausgeführt, wenn der verknüpfte Sicherheitsalarm ausgelöst wird.

Um einen Workflow mit einem Alarm zu verknüpfen, gehen Sie bitte wie folgt vor:

Hinweis:
Sie können übrigens auch mehrere Workflows für einen einzigen Alert ausführen lassen.

Workflow mit bereits vorhandenem Sicherheitsalarm verknüpfen:

  • Klicken Sie auf der Registerkarte Alerts auf das Zahnrad oben rechts („More Tools“) und wählen Sie „Manage Profiles“ aus.
  • Klicken Sie in der Zeile, in der sich der zu verknüpfende Alarm befindet, auf „Configure“.
  • Jetzt öffnet sich das Alarmprofil. Dort wechseln Sie unter „Alert Notification“ auf die Registerkarte „Workflow“ und setzen das Häkchen bei „Enable Workflow“.
  • Wählen Sie den passenden Workflow bei „Select Workflow“ aus und bearbeiten Sie ggf. dessen Einstellungen, indem Sie auf „Modify Inputs“ klicken.
  • Speichern Sie Ihre Änderungen mit einem Klick auf „Update“.

Workflow mit neuem Sicherheitsalarm verknüpfen:

  • Klicken Sie auf der Registerkarte Alerts auf „Add Alert Profile“.
  • Vergeben Sie einen Alarmnamen, legen Sie Schweregrad, Log-Quelle und Alarmtyp fest und passen Sie ggf. die Alarmnachricht an.
  • Legen Sie unter „Alert Notification“ fest, wie Sie benachrichtigt werden möchten.
  • Anschließend können Sie auf dem Reiter „Workflow“ einen Workflow verknüpfen, indem Sie zunächst „Enable Workflow“ aktivieren und dann den gewünschten Workflow auswählen.
  • Klicken Sie auf „Update“, um das Alarmprofil zu speichern.
Screenshot EventLog Analyzer: Alert Profile
Screenshot EventLog Analyzer: Verknüpfen Sie Alarme mit Workflows, damit automatisiert Arbeitsabläufe ausgeführt werden, sobald ein Alarm ausgelöst wird.

Hinweis:
Sie können mit EventLog Analyzer auch automatisiert Tickets aus Alarmen erstellen und an den richtigen Administrator zuweisen. Die Tickets werden entweder direkt in EventLog Analyzer oder – sofern integriert – in einer externen Helpdesk-Lösung erstellt und zugewiesen. Weitere (englische) Informationen finden Sie hier.

4. So führen Sie einen Workflow für einen Alert durch

Sie können Workflows übrigens auch auf der Registerkarte Alerts ausführen und sich deren Status ansehen. Um einen On-Demand-Workflow auszuführen, gehen Sie bitte folgendermaßen vor:

  • Wählen Sie auf der Registerkarte Alerts einen Alarm aus und klicken Sie auf die Schaltfläche „Run Workflow“ in der Spalte „Workflow Status“.
  • Wählen Sie einen Workflow aus dem Dropdown-Menü und klicken Sie auf „Run“.
  • Nun können Sie „Associate to Alert Profile“ wählen, um einem Alert-Profil auf dem Dashboard direkt einen Workflow zuzuordnen.
  • Falls Sie den Status des Workflows überprüfen möchten, klicken Sie auf „Workflow History“.
Screenshot EventLog Analyzer: Workflow History
Screenshot EventLog Analyzer: In der Workflow History können Sie den Status eines Workflows jederzeit einsehen.

5. So überwachen Sie Incident Workflows in EventLog Analyzer

Automatisierte Workflows sind nur dann effektiv, wenn Sie auch nachverfolgen können, was bei deren Ausführung passiert.

Auf der Seite „Manage Workflows“ (Alerts > More Tools > Workflows) sehen Sie nicht nur die Anzahl der Alerts, die mit jedem Workflow verbunden sind. Sie können sich auch die Historie jedes einzelnen Workflows anzeigen lassen, indem Sie auf „View History“ in der Spalte „Workflow History“ klicken. Zudem können Sie sich den Status aller Vorgänge ansehen und Details zu jeder Aktion innerhalb des Workflows verfolgen.

Über EventLog Analyzer

EventLog Analyzer ist eine webbasierte Echtzeit-Log-Management- und IT-Compliance-Lösung, die Angriffe auf das Netzwerk abwehrt. Mit den automatisierten Incident Workflows von EventLog Analyzer können Sie Ihr Sicherheitsteam entlasten und gleichzeitig die Effizienz Ihres Unternehmens bei der Lösung von Sicherheitsvorfällen erheblich verbessern.

Darüber hinaus unterstützt EventLog Analyzer Unternehmen mit ihren umfassenden Log-Management-Funktionen dabei, Ihre vielfältigen Audit-Anforderungen zu erfüllen. Die Lösung bietet sofort einsatzbereite Compliance-Berichte und Warnungen, die die strengen Anforderungen der IT-Richtlinien mühelos erfüllen.

ManageEngine – Support & Kontakt


MicroNova AG
Unterfeldring 6
85256 Vierkirchen

Vertrieb
   +49 8139 9300-456
   Sales-ManageEngine@micronova.de

Technische Unterstützung
   Support kontaktieren