Home > EnCase Enterprise > Automated Incident Response Suite

Guidance Software hat eine Incident Response-Lösung entwickelt, die mit Hilfe von Tools für Warnmeldungen und Inhaltsüberwachungen Warnmeldungen ausgibt und Echtzeit-Reaktionen ermöglicht. Dadurch können sich die für Sicherheitsvorfälle verantwortlichen Mitarbeiter ohne Zeitverlust ganz auf die gefährdeten Computer konzentrieren. Die Automated Incident Response Suite (AIRS) gibt Warnmeldungen aus, filtert fälschlicherweise ausgegebene Warnmeldungen aus und beurteilt, ob tatsächlich ein unerlaubter Zugriff auf einen Computer stattgefunden hat. Beim Generieren der Warnmeldungen wird ein Echtzeit-"Snapshot" der Zielhosts erstellt. Durch eine sofortige Analyse der Quelle und des Ziels werden die Ereignisdetails offengelegt.

Für bestimmte Ereignisse werden unmittelbar nach dem Ereignis automatisierte Snapshots ausgelöst, die eine Anzeige des Angriffsverlaufs in Zeitscheiben ermöglichen. Dadurch kann ermittelt werden, ob das Ereignis tatsächlich stattgefunden hat. Ist dies der Fall können außerdem Ursprung und Folgen des Ereignisses nachvollzogen werden. Die Echtzeitaggregation von IDS-Ereignisdaten und EnCase Snapshot-Daten an einem zentralen Speicherort stellt den Mitarbeitern, die für Ereignisreaktionen, Sicherheitsanalysten usw. zuständig sind, die erforderlichen Informationen zur Verfügung, um zu bestimmen, ob und mit welchen Auswirkungen ein Ereignis aufgetreten ist.

• Durch die Analyse von bis zu 30.000 Computern pro Stunde auf ausgeführte Prozesse erfahren Sie in kürzester Zeit, welche Computer mit welchen Methoden angegriffen wurden bzw. welche Computer gefährdet sind und wo der Ausgangspunkt lag.
• Sie können verborgene und gelöschte Dateien auffinden und löschen, Zero-Day-Ereignissen suchen und entfernen und von Rootkits verwendete versteckte/schädliche Prozesse und Hooks erkennen und zerstören.
• Mehrere Computer eines Netzwerks können gleichzeitig mit einer Geschwindigkeit durchsucht und analysiert werden, die die Leistungsfähigkeit anderer Technologien in den Schatten stellt.
• Nach ausführlicher Dokumentation der Ereignisse können Sie auf betroffene Systeme zuzugreifen und das Problem ohne Unterbrechung der Betriebsabläufe beheben.
• Verlassen Sie sich auf Software, die weltweit erfolgreich vor Gericht eingesetzt wurde. Aus diesen Gründen ist EnCase-Software das "Tool der Wahl" bei Strafverfolgungs- und Aufsichtsbehörden.

IDS-/SIM-/CMS-Integration und Überwachung
Analysten wählen vordefinierte Bedingungen oder erstellen eine benutzerdefinierte Logik, um das Ereignisreaktionsrepository in festgelegten Zeitabständen nach bestimmten Ereignistypen abzufragen. Die Warn-Engine sucht nach Ereignissen, die bestimmte Kriterien erfüllen, beispielsweise eine Warnung der Stufe 1, das Ausführen eines nicht autorisierten, versteckten Prozesses mit einer nach Außen gehenden TCP-Verbindung auf einem bestimmten Port. Mit Hilfe von Tools zur Inhaltsüberwachung (CMS) führt AIRS eine Abfrage nach bestimmten Kriterien durch, beispielsweise Inhalte für Erwachsene, auffälliges Verhalten von Mitarbeitern oder Verletzung von geistigem Eigentum.

• Unterstützte IDS-/SIM-/CMS-Systeme: 
  • Intrusion Detection Systems ISS Site Protector, Snort
  • Content Monitoring Systems Vericept, Vontu
  • Security Information Management Arcsight
• Unterstützung von mehreren Datenbanken: AIRS kann IDS-/SIM-/CMS-Systeme überwachen, die über die folgenden Datenbanken ausgeführt werden: SQL Server 2000/2005, My SQL, Oracle und PostGreSQL.

Konfiguration und Filterung: Die Überwachungskomponenten überwachen die IDS-/SIM-/CMS-Datenbank auf Warnmeldungen, auf die die Datenbank gemäß der Benutzerkonfiguration reagieren soll. Wenn eine dieser Warnmeldungen erkannt wird, löst die Überwachungskomponente einen Snapshot oder eine Untersuchung auf dem alarmauslösenden Rechner aus.

• Auf jedes Ereignis aus der IDS/SIM/CMS wird ein zweistufiger Selektionsprozess angewendet. In der ersten Stufe werden fälschlicherweise ausgegebene Warnmeldungen gefiltert (Konfiguration durch den Benutzer möglich) und in der zweiten Stufe wird festgestellt, ob tatsächlich ein unerlaubter Zugriff auf einen Computer stattgefunden hat.
• Als Teil dieser Selektion kann der Ermittler Filter einrichten, um bei bestimmten Details eines IDS-Ereignisses einen Alarm auszulösen:
• Alarmname
• Alarmpriorität
• Alarmzeitpunkt
• Quell-/Ziel-IP
• Quell-/Ziel-Port
• IDS-Sensorname
• IDS-Sensoradresse
• Für CMS-Ereigisse kann der Benutzer Filter für Folgendes einrichten:
• Quell-/Ziel-IP
• Kategorie- oder Richtlinienname
• Priorität
• Quell-/Zielkonto

Prozess für Ereignisreaktion
Sobald eine Warnmeldung generiert wird, findet ein Echtzeitreaktionsprozess statt, der als "Snapshot" bezeichnet wird, um temporäre Daten vom Zielrechner und dem angreifenden Rechnern abzurufen. Aufgrund der abgerufenen Datenmenge können Ermittler bestimmen, ob Rechner durch ein bestimmtes Ereignis gefährdet sind oder nicht. Im Falle der CMS-Systeme führt AIRS eine forensische Echtzeit-Verifzierung des Ereignisses durch.

• Führt Snapshots/Ermittlungen auf Rechnern aus, für die IDS/SIM/CMS einen Alarm meldet. Die Snapshot-Ergebnisse werden in der AIRS-Datenbank gespeichert.
• Durch Snapshot erfasste temporäre Daten:
• Offene Ports
• Alle aktiven Prozesse: bekannte, unbekannte, verborgene
• Dynamische Windows®-Registrierung
• Dienste
• Informationen zum TCP-Netzwerksocket
• Beim Rechner angemeldete Benutzer
• Zusätzliche Daten können mit Modulen hinzugefügt werden, z. B. Gerätetreiber, geöffnete Dateien, Netzwerkkarten usw.
• Je nach Schwere des Ereignisses, das durch den Alarm und die anfängliche Selektion definiert wurde, erstellt EnCase automatisch mehrere Snapshots in festgelegten Intervallen und ermöglicht mit Hilfe von System-Snapshots über einen bestimmten Zeitraum ein detailliertes Portrait der Auswirkungen eines Computerangriffs auf einem oder mehreren Computern.
• Das im Hintergrund aktive EnCase-Servlet kann auf Rechnern angewendet werden, die in einen Alarm verwickelt sind, jedoch noch nicht über das Servlet verfügen. Auf diese Weise erhalten die Rechner mit der höchsten Priorität automatisch das Servlet.

Webbasierte Ereignisanalyse
AIRS Web Reporter ist eine Webanwendung, die Ermittler mit einer webbasierten Schnittstelle ausstattet, mit deren Hilfe sie ausführliche Informationen zu Ereignisreaktionen in Echtzeit erhalten. Zum Durchführen der Ermittlungen benötigen Benutzer lediglich einen Browser. Ermittler erhalten die folgenden Möglichkeiten:

• Snapshot-/Ermittlungsergebnisse anzeigen:
• Informationen zu angemeldeten Benutzern
• Computername
• Betriebssystem
• Liste mit ausgeführten Prozessen
• Befehlszeilenargumente, Hashwert und Ports für die einzelnen Prozesse
• Genehmigte oder nicht genehmigte "Status" der einzelnen Prozesse wie über EnCase Enterprise festgelegt
• Liste mit erstellten Snapshots der ersten Ebene
• Für jedes einzelne Ziel eine Liste mit bis zum aktuellen Datum erstellten Snapshots zum Ausführen der Analyse des Ziels zu verschiedenen Zeitpunkten
• Anzeigen von Informationen zu IDS-/CMS-Ereigissen durch Abfragen des IDS-/CMS-Systems. Dies stellt eine benutzerfreundliche und umfassende Schnittstelle dar, so dass der Benutzer während der Ermittlungen nicht zwischen den Warnsystemen und AIRS hin und her wechseln muss.
• Anzeigen von Informationen der Zielwarteschlange, um festzustellen, für welche Ziele Untersuchungen geplant sind.
• Anzeigen der Liste mit IDS-/CMS-Bedingungen, die erstellt und beim Filtern von Ereignissen verwendet wurden.

Berichterstellung
Ermöglicht dem Benutzer, Snapshot-bezogene Berichte im HTML- und Excel-Format zu erstellen und diese optional per E-Mail an bestimmte Parteien zu senden.

• Analysten erhalten durch die EnCase Reporting Engine die Möglichkeit, basierend auf den Snapshot-Ereignisdaten aussagekräftige und sehr spezifische Bericht im HTML- und Excel-Format zu erstellen. Es stehen darüber hinaus eine Reihe vorkonfigurierter Berichte zur Verfügung, die dabei helfen, die für eine bestimmte Ereignisserie relevanten Informationen einzugrenzen.
• Mit Hilfe der AIRS Web Reporter-Schnittstelle können auch Berichte der obersten Ebene erstellt werden, in denen erkannte, nicht genehmigte Prozesse zusammengefasst werden, sowie Berichte zu IDS- und CMS-Ereignissen bereitgestellt werden.

Verwaltung
Verwaltung der AIRS-Datenbank: Mit Hilfe dieser Komponente kann der Benutzer die AIRS-Datenbank erstellen, die zum Speichern der Ermittlungsergebnisse verwendet werden soll. Sie bietet auch Funktionen zur Datenpflege, beispielsweise zum Konfigurieren einer automatischen, regelmäßigen Entfernung alter Datensätze oder zum Ausführen einer einmaligen Entfernung von Datensätzen, die älter als ein bestimmtes Datum sind.