5 Tipps, um Privilege-Escalation-Angriffe schneller zu erkennen

Privilege-Escalation-Angriffe gehören zu den besonders kritischen Bedrohungen in IT-Umgebungen. Angreifer versuchen dabei, ihre Berechtigungen schrittweise auszuweiten, um auf sensible Systeme und Daten zuzugreifen, Schadsoftware nachzuladen oder weitere Angriffe vorzubereiten. 

Die Schwierigkeit: Viele dieser Aktivitäten wirken zunächst unauffällig und können ohne gezieltes Monitoring leicht übersehen werden

SIEM-Lösungen wie ManageEngine Log360 unterstützen IT-Teams dabei, sicherheitsrelevante Ereignisse schneller einzuordnen und typische Anzeichen für eine Privilege Escalation so zeitnah zu erkennen. 

In diesem Tipp zeigen wir, warum Privilege Escalation oft erst spät auffällt, welche Funktionen bei der Erkennung helfen und wie Sie typische Anzeichen mit Log360 frühzeitig erkennen und einordnen können.

Weitere Tipps & Infos rund um SIEM und Log360 finden Sie hier.

Hier geht es direkt zu den Log360 Tipps: 

Warum Privilege-Escalation-Angriffe oft erst spät auffallen

Privilege-Escalation-Angriffe lassen sich meist nicht auf den ersten Blick erkennen. In der Regel gibt es nicht das eine Ereignis, an dem sich ein Angriff eindeutig festmachen lässt. Vielmehr sind es mehrere Aktionen, die erst in ihrer Kombination auf eine Rechteausweitung hindeuten.

Viele dieser Aktivitäten wirken für sich genommen unauffällig, weil sie regulären Admin- oder Benutzeraktionen ähneln. Genau das erschwert die Erkennung im Alltag: Wer nur einzelne Ereignisse prüft, übersieht leicht, dass sich daraus ein Muster ergibt. Umso wichtiger ist es, sicherheitsrelevante Änderungen kontinuierlich zu überwachen, Auffälligkeiten zu korrelieren und ungewöhnliches Verhalten frühzeitig sichtbar zu machen.

Mögliche Anzeichen für Privilege-Escalation-Angriffe 

  • unerwartete Änderungen an Benutzerkonten
  • neue oder geänderte Gruppenmitgliedschaften
  • auffällige Rechte- oder Rollenänderungen
  • verdächtige Software- oder Service-Installationen
  • Zugriffe auf sensible Systeme oder Dateien, die nicht zum üblichen Verhalten passen

Funktionen, die bei der Erkennung von Privilege-Escalation-Angriffen helfen

Damit Hinweise auf Privilege Escalation nicht isoliert betrachtet werden müssen, sind vor allem Funktionen wichtig, die sicherheitsrelevante Ereignisse zentral erfassen, auswerten und in Zusammenhang setzen. Dazu gehören insbesondere:

  • Echtzeit-Auditing und Berichte zu sicherheitsrelevanten Änderungen: 
    So lassen sich Änderungen an Benutzerkonten, Gruppen und Berechtigungen gezielt nachvollziehen und einordnen.
  • Alerting- und Korrelationsfunktionen: 
    Sie helfen dabei, kritische Ereignisse frühzeitig zu erkennen, statt sie erst bei einer späteren Analyse festzustellen.
  • Verhaltensbasierte Analysen zur Anomalie-Erkennung:
    Damit lassen sich auffällige Veränderungen im Benutzerverhalten erkennen, etwa anhand von zeitlichen Abweichungen, ungewöhnlichen Mustern oder auffälligen Häufungen.
  • Threat Intelligence: 
    Die Einbindung externer Threat Feeds hilft dabei, Verbindungen zu bekannten schädlichen IP-Adressen, URLs und Domains in die Bewertung einzubeziehen.

Tipp 1: Benutzer- und Gruppenänderungen in Echtzeit überwachen

Änderungen an Benutzerkonten, Gruppen und Berechtigungen sollten möglichst in Echtzeit überwacht werden. Neue Gruppenmitgliedschaften, geänderte Benutzerattribute oder angepasste Rechte können auf eine mögliche Rechteausweitung hindeuten. Da solche Vorgänge oft wie reguläre Admin-Maßnahmen wirken, sollten sie zentral sichtbar gemacht und regelmäßig überprüft werden.

So überwachen Sie Änderungen an Benutzern und Gruppen in Log360:

Einen guten Einstieg bietet in Log360 das AD-Audit-Dashboard unter Log360 > AD Audit > Dashboard > Summary View

Diese Ansicht gibt einen Überblick über Änderungen an Benutzern, Gruppen und Computern und eignet sich damit gut, um sicherheitsrelevante Änderungen frühzeitig im Blick zu behalten.

Screenshot Log360: AD Audit Dashboard
Screenshot Log360: Das „AD Audit Dashboard“ zeigt wichtige Änderungen an Benutzern und Gruppen.

Um bestimmte Änderungen genauer zu prüfen, können Sie gezielt mit Reports arbeiten. Hilfreich sind hier beispielsweise folgende Berichte: 

  • Benutzerbasierte Berichte (unter AD Audit > Active Directory > Auditing > User Logon Reports):
    • User Logon Activity Report – zeigt, welche Benutzer sich wann an welchem System an- oder abgemeldet haben.
    • Recently Modified Users – listet Benutzerkonten auf, die kürzlich geändert wurden.
    • Extended Attribute Changes for Users – zeigt Änderungen an erweiterten Benutzerattributen.
       
  • Berichte zu Änderungen an Gruppen (unter AD Audit > Active Directory > Auditing > Group Management):
    • Recently Added Members to Security Groups – zeigt, welche Benutzer zuletzt zu Sicherheitsgruppen hinzugefügt wurden.
    • Extended Attribute Changes – listet Änderungen an Gruppenattributen auf.
    • Recently Created Security Groups – zeigt neu angelegte Sicherheitsgruppen.
       
  • Berichte zu Rechteänderungen (unter AD Audit > Active Directory > Auditing > Permission Changes):
    • User Permission Changes – zeigt Änderungen an Benutzerberechtigungen.

Tipp 2: Verdächtige Installationen und Systemänderungen erkennen

Um Anzeichen für Privilege-Escalation-Angriffe möglichst früh zu erkennen, sollten neu installierte Software, neue oder geänderte Services sowie weitere verdächtige Systemänderungen kontinuierlich überwacht werden. 

Auch hier ist der Kontext entscheidend: Erst wenn Aktivitäten unerwartet oder zusammen mit weiteren Auffälligkeiten auftreten, können sie auf einen Angriff hindeuten. 

Bei der Auswertung helfen unter anderem Berichte zu Systemänderungen. Besonders hilfreich ist zudem eine regelbasierte Korrelation, die Zusammenhänge zwischen verdächtigen Ereignissen anhand definierter Regeln sichtbar macht und IT-Teams dadurch unterstützt, diese richtig einzuordnen.

Hinweis: 
Log360 verfügt standardmäßig über mehr als 2.000 vordefinierte Regeln für typische Bedrohungsmuster, etwa im Zusammenhang mit Privilege Escalation. Malware oder Insider-Bedrohungen. Die Regeln orientieren sich unter anderem am MITRE ATT&CK Framework und werden von ManageEngine kontinuierlich aktualisiert und ergänzt. Gleichzeitig lassen sich die in der Rule Library bereitgestellten Regeln flexibel an die eigene Umgebung anpassen, indem beispielsweise Log-Quellen angepasst oder eigene Schwellenwerte definiert werden. Zudem können Sie eigene Regeln anlegen.
Ausführliche Informationen zur Rule Library finden Sie hier auf der englischen Hilfe-Seite.

So überwachen Sie neu installierte Software und neue Services

Einen schnellen Überblick über verdächtige Aktivitäten wie neue Software-Installationen, neu installierte oder gestartete Windows-Services sowie verdächtige Änderungen an der Windows Registry bietet das Widget „Anomaly Statistics“ auf dem „Anomaly Trends“-Dashboard (unter Dashboard > Anomaly Trends). 

Wenn Sie sich ein detaillierteres Bild über Software-Installationen oder Windows-Services verschaffen möchten, eignen sich unter anderem folgende Berichte in Log360:

  • Bericht „Software Installed“: 
    Auf dem Tab „Reports“ unter „Servers & Workstations“ auf das gewünschte Betriebssystem klicken (z. B. „Windows“) und anschließend zu Program Inventory > Software Installed navigieren.
     
  • Bericht „New Services Installed“: 
    Diesen Bericht finden Sie unter Reports > Servers & Workstations > Windows > Service Audit > New Services Installed.
Screenshot Log360: Anomaly Trends Dashboard
Screenshot Log360: Das „Anomaly Trends Dashboard“ ermöglicht einen schnellen Überblick über verdächtige Aktivitäten.

Zusatztipp: Dashboards anpassen 
Die Dashboard-Ansichten in Log360 lassen sich über das Zahnrad-Symbol (oben rechts) individuell anpassen. Sie können zusätzliche Tabs und Widgets hinzufügen, bestehende Elemente verschieben oder deren Größe ändern. 

Eine englische Anleitung zur Anpassung der Dashboard-Ansicht finden Sie hier.

Zusatztipp: Oft genutzte Berichte schneller aufrufen 
Häufig genutzte Berichte können Sie entweder als Favoriten markieren oder als Widget zu einem Dashboard hinzufügen. So gehen Sie vor: 

  1. Bericht als Favorit markieren: 
    Report aufrufen und oben rechts auf Add to > Add to Favorite Reports klicken. Sie können bis zu 20 Berichte als Favoriten markieren und mit einem Klick auf „Favorite Reports“ aufrufen.
  2. Bericht an Dashboard anheften: 
    Report aufrufen und oben rechts auf More > Pin to Dashboard klicken. Anschließend Tab und Widget auswählen und ggf. weitere Einstellungen für die Ansicht festlegen und mit „Save“ speichern. 
    (Hinweis: Die Funktion steht derzeit nur für Berichte auf dem Tab „Reports“ zur Verfügung.) 

Weitere Informationen finden Sie hier im englischen Hilfedokument.

Tipp 3: Verbindungen zu schädlichen Domains, URLs und IP-Adressen identifizieren

Obwohl sich ein großer Teil der Aktivitäten bei einem Privilege-Escalation-Angriff innerhalb des eigenen Netzwerks abspielt, lohnt es sich, auch externe Zugriffe zu überwachen. Angreifer kommunizieren häufig mit externen Systemen, etwa um weitere Befehle zu empfangen, zusätzliche Schadsoftware nachzuladen oder Daten abzuleiten. 

Deshalb sollten auch Zugriffe auf bekannte schädliche Domains, URLs und IP-Adressen kontinuierlich überwacht werden. Solche Verbindungen können auf Command-and-Control-Aktivitäten oder andere bösartige Kommunikationsmuster hindeuten. Log360 verarbeitet dafür STIX/TAXII-basierte Threat Feeds und alarmiert in Echtzeit, wenn global blockierte oder schädliche IPs und URLs mit dem Netzwerk interagieren.

So überwachen Sie externe Bedrohungsindikatoren in Log360

Log360 verfügt über einen integrierten STIX/TAXII-Feed-Prozessor und verarbeitet automatisch aktuelle Bedrohungsinformationen. Dadurch kann die Lösung Threat Feeds mit Netzwerkdaten korrelieren und Zugriffsversuche auf schädliche Domains, URLs und IP-Adressen erkennen. Wenn eine als schädlich eingestufte IP oder URL im Netzwerk auftaucht, alarmiert Log360 Sie in Echtzeit, damit Sie schneller Gegenmaßnahmen einleiten können. Das hilft dabei, unter anderem bösartige Kontaktversuche, eingehenden Traffic von global blockierten Servern, Advanced Persistent Threats, Denial-of-Service-Angriffe und Exploit-Versuche aufzuspüren.

Wenn Sie detaillierte Informationen zu den verwendeten Regeln aufrufen oder diese anpassen möchten, gehen Sie folgendermaßen vor: 

  • Auf den Tab „Security“ gehen und oben rechts auf „Manage Rules“ klicken.
  • Dort können Sie nach Stichwörtern wie „Malicious URL Requests“ oder nach MITRE-ATT&CK-Taktiken wie „Privilege Escalation“ suchen, um passende Regeln schneller zu finden.
  • Mit einem Klick auf den Namen der Regel lassen sich Details wie Schweregrad, MITRE-ATT&CK-Zuordnung oder Alarmprofile einsehen oder die Regel anpassen. Ausnahmen können bei Bedarf im Abschnitt „Criteria“ definiert werden.  

Weitere Threat Feeds einbinden:
Falls Sie zusätzliche oder eigene Threat-Intelligence-Quellen einbinden möchten, finden Sie die Konfiguration in Log360 unter Settings > Threat Management > STIX/TAXII Threat Feeds.

Hinweis: 
In Log360 gibt es drei verschiedene Arten von Regeln: 

  • Standard Rules“ für grundlegende Ereignisfilterung
  • Anomaly Rules“ für ungewöhnliches Verhalten bei Einzelereignissen
  • Advanced Rules“ für komplexe, mehrstufige Angriffsmuster 

Jeder Regeltyp verfügt über eigene Konfigurationsfelder, Filter, Schwellenwerte und Anomalie-Modelle, mit denen sie sich flexibel an die eigene Umgebung anpassen lassen. 

Ausführliche Informationen zu Regeln finden Sie im englischen Hilfe-Dokument. 

Screenshot Log360: Security Dashboard
Screenshot Log360: Das „Security Dashboard“ gibt einen Überblick über die Bedrohungslage im Unternehmen und hilft, erkannte Bedrohungen in umsetzbare Erkenntnisse umzuwandeln.

Screenshot Log360: Verwaltung von Regeln
Screenshot Log360: Log360 enthält mehr als 2.000 Regeln, die bei der automatischen Erkennung unterschiedlicher Bedrohungen unterstützen.

Tipp 4: Ungewöhnliches Benutzerverhalten mit UEBA analysieren

Nicht jede Rechteausweitung lässt sich über einzelne Ereignisse oder Regeltreffer erkennen. Gerade wenn Angreifer ein bereits kompromittiertes Konto nutzen, wirken viele Aktivitäten zunächst wie reguläre Benutzeraktionen. Umso wichtiger ist es, Abweichungen vom üblichen Verhalten sichtbar zu machen, etwa ungewöhnliche Zugriffe, auffällige Anmeldezeiten oder unerwartete Aktivitäten auf sensiblen Systemen

Genau hier setzt User and Entity Behavior Analytics (UEBA) an: Log360 erstellt dazu zunächst Verhaltensprofile für Benutzer und andere Entitäten und markiert Abweichungen von dieser Baseline als auffällig. Zudem erstellt Log360 auf dieser Grundlage eine individuelle Risikobewertung für jeden Benutzer bzw. jede Entität

So nutzen Sie die User & Entity Behavior Analytics (UEBA) in Log360:

In Log360 geben Ihnen zwei Dashboards eine schnelle Übersicht über verdächtige Aktivitäten von Benutzern bzw. Entitäten: 

  • Users Dashboard (unter Dashboard > Users):
    Hier finden Sie die wichtigsten Auffälligkeiten auf Benutzerebene wie den Users Risk Score, die User Anomaly Trends oder Watchlisted Users. So sehen Sie auf einen Blick, welche Benutzer aktuell ein erhöhtes Risiko aufweisen, welche Sie gezielt beobachten sollten und wie sich Anomalien im Zeitverlauf entwickeln.
     
  • Entities Dashboard (unter Dashboard > Entities):
    Dieses Dashboard funktioniert nach demselben Prinzip, bezieht sich aber nicht auf Benutzer, sondern auf andere Entitäten im Netzwerk. 
Screenshot Log360: Users Dashboard
Screenshot Log360: Das „Users Dashboard“ gibt einen Überblick über alle verdächtigen Aktivitäten von Benutzern.

Zusatztipp:  
Für eine möglichst präzise Anomalie-Erkennung ist ein sauberes User Identity Mapping wichtig, bei dem die verschiedenen Benutzerkonten einer Person einem Basiskonto, zum Beispiel dem Active Directory, zugeordnet werden. So lassen sich Risk Scores und Anomalien zuverlässig einer Person zuordnen. 
Wie Sie dabei vorgehen, lesen Sie in unserem „Tipp: Bessere Anomalie-Erkennung durch User Identity Mapping“. 

Tipp 5: Reaktionen auf kritische Warnungen automatisieren

Damit sicherheitsrelevante Ereignisse nicht im Tagesgeschäft untergehen, sind zwei Dinge entscheidend: Zum einen sollten sich die Alarme so anpassen lassen, dass kritische Warnungen im Alarmrauschen nicht untergehen, zum anderen sollte eine automatisierte Reaktion auf Incidents möglich sein. Gerade bei Anzeichen für Privilege Escalation ist das wichtig, damit verdächtige Änderungen, Anomalien oder Zugriffe nicht nur erfasst, sondern auch schnell priorisiert und bearbeitet werden.

In Log360 lassen sich die Warnmeldungen über Alarmprofile gezielt anpassen. So können Sie festlegen, welche Ereignisse einen Alarm auslösen, welche Log-Quellen berücksichtigt werden, welchen Schweregrad eine Warnung erhält und wer benachrichtigt wird. Auf diese Weise werden kritische Hinweise besser sichtbar und gehen nicht in einer Vielzahl weniger relevanter Meldungen unter.

Darüber hinaus ermöglicht es die automatisierte Incident Response von Log360, umgehend zu reagieren, sobald ein Alarm ausgelöst wurde. Je nach Bedarf kann eines der in Log360 integrierten Playbooks ausgeführt werden, die eine Reihe definierter Reaktionen automatisch anstoßen (zum Beispiel einen Prozess beenden oder ein USB-Gerät blockieren). So lassen sich bösartige Aktivitäten frühzeitig stoppen.

So nutzen Sie Alert Profiles in Log360:

  • Auf den Tab Alerts gehen und oben rechts auf „Manage Alert Profiles“ klicken.
  • Vorhandenes Alarmprofil bearbeiten:
    • Filtern Sie die Liste bei Bedarf, z. B. nach dem Alarmprofil.
    • Klicken Sie auf das Stift-Symbol, um den Alarm zu bearbeiten.  
  • Neues Alarmprofil erstellen:
    • Auf „Add Alert Profile“ klicken und einen eindeutigen Namen vergeben.
    • Kriterien definieren. Dabei stehen vier Kategorien zur Auswahl:
      • Predefined Alert Criteria: Bei dieser Option können Sie aus einer Vielzahl vordefinierter Alarmbedingungen wählen.
      • Rules: Hier steht eine breite Auswahl an vordefinierten, sicherheitsbezogenen Alarmregeln zur Verfügung, die gängige Bedrohungsmuster und anomale Aktivitäten abdecken.
      • Compliance Alert Criteria: Diese Kategorie umfasst Compliance-bezogene Alarmkriterien.
      • Custom Alert Criteria: Hier können Sie eine oder mehrere Alarmbedingungen anhand von Attributen, Vergleichsoperatoren und Werten definieren.
    • Bei „Log Sources“ die Log-Quellen für das Profil auswählen.
    • Schweregrad (Critical, Trouble oder Attention) festlegen.
    • Unter „Alert Message Format“ lässt sich ggf. der Text der Warnmeldung anpassen.
    • Unter „Advanced Configuration“ können Sie die Alarmbedingungen durch Schwellenwerte („Threshold“) oder Zeitfenster („Time Range“) weiter eingrenzen.
    • Unter Alert Notification legen Sie die Art der Benachrichtigung fest, zum Beispiel per E-Mail oder SMS. 

Alarme in Log360
In Log360 lassen sich verschiedene Arten von Alarmen konfigurieren: 

  • Echtzeit-Sicherheitsalarme, auch für importierte Logs
  • Compliance-spezifische Alarme zur Überwachung regulatorischer Vorgaben
  • Alarme für das File Integrity Monitoring (FIM), um kritische Änderungen an sensiblen Dateien oder Ordnern zu kennzeichnen
  • Vordefinierte und benutzerdefinierte Alarmprofile

Log360 bietet über 1.000 vordefinierte Alarmkriterien. Zusätzlich können benutzerdefinierte Alarmprofile erstellt werden, die präzise an die individuellen Anforderungen zugeschnitten sind.

Weitere Informationen zu Alarmen finden Sie im englischen Hilfe-Dokument zu Log360.

Screenshot Log360: In Log360 lassen sich individuelle Alarmprofile anlegen und präzise anpassen.

Hinweis:  
Eine ausführliche Anleitung zur Erstellung von Alarmprofilen finden Sie im englischen Hilfe-Dokument.

So nutzen Sie Playbooks für automatisierte Reaktionen:

Playbooks sind automatisierte Reaktions-Workflows, mit denen beispielsweise kompromittierte Benutzerkonten deaktiviert, IP-Adressen blockiert, USB-Ports deaktiviert, Systeme heruntergefahren oder Firewall-Regeln geändert werden können. Ihr Zweck ist es, die Reaktionszeit zu verkürzen und manuelle Eingriffe zu reduzieren.

  • Möglichkeit 1: Playbook beim Anlegen oder Bearbeiten eines Alarmprofils aktivieren
    • Das Alert Profile öffnen und im Bereich „Alert Notification“ auf den Reiter „Playbook“ klicken.
    • „Enable Playbook“ aktivieren, um ein vorhandenes Playbook zuzuordnen oder ein neues anzulegen.
    • Die Änderung mit „Update“ speichern.
  • Möglichkeit 2: Playbook manuell für einen Alert starten
    • Auf den Reiter „Alerts“ gehen und in der Zeile mit dem gewünschten Alert auf „Run Playbook“ klicken.
    • Im eingeblendeten Fenster eine der vorgeschlagenen Aktionen auswählen und mit einem weiteren Klick auf „Run Playbook“ starten.
Screenshot Log360: Automatische Reaktion auf Alarme mit Playbooks
Screenshot Log360: Die Playbooks in Log360 ermöglichen eine automatisierte Reaktion auf Sicherheitsereignisse.

Hinweis:
Wenn ein Ereignis einen Alert auslöst und diesem Alert Profile ein Playbook zugeordnet ist, wird das Playbook automatisch ausgeführt. Die Logik ist also: Ereignis > Alert > Playbook

Eine ausführliche Anleitung zum Playbook Management in Log360 finden Sie im englischen Hilfe-Dokument.

Über Log360

ManageEngine Log360 ist eine umfassende SIEM-Lösung, die Unternehmen hilft, Angriffe zu erkennen und abzuwehren, sicherheitsrelevante Ereignisse zu überwachen und gesetzliche Vorgaben einzuhalten. Die Lösung verfügt u. a. über integrierte Funktionen zu User Behavior Analytics (UEBA), Data Leak Prevention (DLP), einen Cloud Access Security Broker (CASB), eine Threat-Intelligence-Plattform sowie eine ML-gestützte Anomalie-Erkennung. Funktionen wie regelbasierte Angriffserkennung, Ereigniskorrelation, Log-Forensik, Sicherheits-Monitoring für Cloud-Dienste und Incident Management unterstützen dabei, selbst komplexe Anwendungsfälle bei der Sicherheit von Unternehmen zu adressieren. Log360 überwacht kontinuierlich die Sicherheit verschiedener lokaler, hybrider und Cloud-Netzwerkkomponenten wie Active Directory, Perimeter-Geräte, Workstations, Datenbanken, geschäftskritische Anwendungen, Cloud-Dienste und mehr.

Zudem bietet Log360 eine übersichtliche und einfach zu bedienende Benutzeroberfläche. Dank intuitiver Dashboards und fortschrittlicher Analysefunktionen wissen Sicherheitsexperten sofort, ob irgendwo im Netzwerk eine Bedrohung lauert. Warnmeldungen und kontextbezogene Reaktionen ermöglichen es, Probleme zu lösen, bevor sie sich zu einem größeren Sicherheitsvorfall entwickeln.

Die UEBA-Funktion von Log360, die das Benutzerverhalten mit Hilfe von ML-Algorithmen analysieren, unterstützen Sicherheitsexperten dabei, anomale Aktivitäten von verdächtigen Benutzern und Entitäten zu verfolgen, Risikowerte zuzuweisen und sich in Echtzeit über anomale Aktivitäten informieren zu lassen.

Demo-Version ansehen
Jetzt 30 Tage kostenlos testen!

ManageEngine – Support & Kontakt

MicroNova AG
Unterfeldring 6
85256 Vierkirchen

Vertrieb
   +49 8139 9300-456
   Sales-ManageEngine@micronova.de

Technische Unterstützung
   Support kontaktieren