Da immer mehr Benutzer remote arbeiten, ist es sehr wahrscheinlich, dass mehr Anwendungen heruntergeladen und auf den Endpunkten installiert werden. Hier ist ein Analysebericht aus der Splunk Enterprise Security Use Case-Bibliothek.
Dieser Bericht bietet eine Anleitung zur Identifizierung und Untersuchung von verbotener/nicht autorisierter Software in Ihrer Umgebung oder von Prozessen, die möglicherweise böswilliges Verhalten verschleiern. Darüber hinaus gibt es einen ähnlichen Analysebericht für die Überwachung veralteter Software. Bitte bedenkt, dass sich das Risiko durch Installieren von zusätzlicher Software auf den Endpunkten erhöht. Wenn ihr diese Suche bereits einsetzt, solltet ihr die Ausführungshäufigkeit überprüfen, da sich die spezifischen Anforderungen mit dem neuen Betriebsmodell voller Remote-Arbeit sehr wahrscheinlich ändern werden.
Zu den Suchbeispielen gehören unter anderem:
Für jedes dieser Suchbeispiele können Benutzer die Korrelationssuche bearbeiten, wie unten am Beispiel für verbotene Software auf dem Endpunkt gezeigt:
Der wichtigste Datenquellentyp für diesen Analysebericht ist EDR (Endpoint Detection and Response), wie z. B. Carbon Black, Tanium, CrowdStrike und Sysmon.
Hier findet ihr weitere praktische Tipps zum Schutz eures Unternehmens im neuen „Work-From-Home“-Zeitalter.
Vielen Dank an alle Mitwirkenden an diesem Blogbeitrag, Bryan Sadowski, Lily Lee, Rene Aguero, James Brodsky, Chris Simmons.
*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier: Securing a New Way of Working: Wait, What’s This Thing Running on Your Machine? (17. März 2020).
Die Splunk-Plattform beseitigt die Hürden zwischen Daten und Handlungen, damit Observability-, IT- und Security-Teams in ihren Unternehmen für Sicherheit, Resilienz und Innovation sorgen können.
Splunk wurde 2003 gegründet und ist ein globales Unternehmen – mit mehr als 7.500 Mitarbeitern, derzeit über 1.020 Patenten und einer Verfügbarkeit in 21 Regionen rund um den Globus. Mit seiner offenen, erweiterbaren Datenplattform, die die gemeinsame Nutzung von Daten in beliebigen Umgebungen unterstützt, bietet Splunk allen Teams im Unternehmen für jede Interaktion und jeden Geschäftsprozess End-to-End-Transparenz mit Kontext. Bauen auch Sie eine starke Datenbasis auf – mit Splunk.