{"id":32571,"date":"2025-08-19T10:40:51","date_gmt":"2025-08-19T08:40:51","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=32571"},"modified":"2025-08-19T10:40:51","modified_gmt":"2025-08-19T08:40:51","slug":"ueba-rules-in-kaspersky-siem","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/ueba-rules-in-kaspersky-siem\/32571\/","title":{"rendered":"UEBA-Regeln in einem SIEM-System"},"content":{"rendered":"<p>Moderne Cyberangreifer sind wahre Tarnk\u00fcnstler und legen sich m\u00e4chtig ins Zeug, um ihre b\u00f6sartigen Aktivit\u00e4ten wie gew\u00f6hnliche Prozesse aussehen zu lassen. Sie verwenden legitime Tools, kommunizieren \u00fcber \u00f6ffentliche Dienste mit Command-and-Control-Servern und maskieren b\u00f6sartigen Code als normale Benutzeraktionen. Solche Aktivit\u00e4ten sind f\u00fcr herk\u00f6mmliche Sicherheitsl\u00f6sungen nahezu unsichtbar. Bestimmte Anomalien k\u00f6nnen jedoch durch die Analyse des Verhaltens konkreter Nutzer, Dienstkonten oder anderer Objekte erkannt werden. Darin besteht die Methode zur Bedrohungserkennung mithilfe der \u201eVerhaltensanalyse von Nutzern und Entit\u00e4ten\u201c, kurz UEBA. Und genau diese haben wir in der neuesten Version unseres SIEM-Systems Kaspersky Unified Monitoring and Analysis Platform implementiert.<\/p>\n<h2>So funktioniert UEBA in einem SIEM-System<\/h2>\n<p>Laut <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/ueba\/\" target=\"_blank\" rel=\"noopener\">Definition<\/a> ist UEBA eine Technologie, die Cyberbedrohungen identifiziert. Dazu wird das Verhalten von Nutzern, Ger\u00e4ten, Anwendungen und anderen Objekten in einem Informationssystem analysiert. Diese Technologie kann im Prinzip mit jeder Sicherheitsl\u00f6sung kombiniert werden. Unserer Meinung nach ist sie jedoch am effektivsten, wenn sie in eine SIEM-Plattform integriert wird. Ein SIEM-System, das mit UEBA-Erkennungsregeln ausgestattet ist, kann Abweichungen vom typischen Verhalten analysieren. Zuvor wird mithilfe von maschinellem Lernen das normale Verhalten eines Nutzers oder Objekts (Computer, Dienst oder anderes Element) ermittelt. Dadurch lassen sich APTs, gezielte Angriffe und Insider-Bedrohungen rechtzeitig erkennen.<\/p>\n<p>Darum haben wir unser SIEM-System mit einem speziell entwickelten UEBA-Regelpaket ausger\u00fcstet. Es erkennt Unregelm\u00e4\u00dfigkeiten bei Authentifizierungsprozessen, in der Netzwerkaktivit\u00e4t und bei der Ausf\u00fchrung von Prozessen auf Windows-basierten Workstations und Servern. Dies erh\u00f6ht die Intelligenz unseres Systems und optimiert die Suche nach neuartigen Angriffen, die mit normalen Korrelationsregeln, Signaturen oder Kompromittierungsindikatoren nur schwer zu identifizieren sind. Jede Regel im UEBA-Paket basiert auf Verhaltensprofilen f\u00fcr Nutzer und Objekte. Die Regeln lassen sich in zwei Kategorien unterteilen:<\/p>\n<ul>\n<li>Statistische Regeln, die den <a href=\"https:\/\/de.wikipedia.org\/wiki\/Interquartilsabstand_(deskriptive_Statistik)\" target=\"_blank\" rel=\"nofollow noopener\">Interquartilsabstand<\/a> verwenden, um Anomalien anhand aktueller Verhaltensdaten zu identifizieren.<\/li>\n<li>Regeln auf Basis von historischen Daten, die aus der Analyse vorhergehender Aktivit\u00e4ten eines Kontos oder Objekts stammen. Diese Regeln dienen der Erkennung von Verhaltensabweichungen.<\/li>\n<\/ul>\n<p>Wenn eine Abweichung von einer historischen Norm oder statistischen Vermutung gefunden wird, generiert das System eine Warnung und erh\u00f6ht die Risikobewertung des entsprechenden Objekts (Nutzer oder Host). (In <a href=\"https:\/\/www.kaspersky.com\/blog\/ai-technology-in-kaspersky-siem\/53238\/\" target=\"_blank\" rel=\"noopener nofollow\">diesem Artikel<\/a> erf\u00e4hrst du mehr dar\u00fcber, wie unsere SIEM-L\u00f6sung mithilfe von KI Risiken bewertet.)<\/p>\n<h2>Struktur des UEBA-Regelpakets<\/h2>\n<p>F\u00fcr dieses Regelpaket haben wir uns auf die Bereiche konzentriert, in denen die UEBA-Technologie am besten funktioniert. Dies sind Kontenschutz, \u00dcberwachung der Netzwerkaktivit\u00e4t und sichere Authentifizierung. Unser UEBA-Regelpaket umfasst derzeit die folgenden Abschnitte:<\/p>\n<h3>Authentifizierung und Berechtigungskontrolle<\/h3>\n<p>Diese Regeln erkennen ungew\u00f6hnliche Anmeldemethoden, pl\u00f6tzliche Zunahmen von Authentifizierungsfehlern, das Hinzuf\u00fcgen von Konten zu lokalen Gruppen auf fremden Computern sowie Authentifizierungsversuche au\u00dferhalb der normalen Gesch\u00e4ftszeiten. Jede dieser Abweichungen wird markiert und erh\u00f6ht die Risikobewertung des Nutzers.<\/p>\n<h3>DNS-Profilerstellung<\/h3>\n<p>Sie dient der Analyse von DNS-Abfragen, die von Computern im Unternehmensnetzwerk gesendet werden. Die Regeln in diesem Abschnitt sammeln historische Daten, um Anomalien zu identifizieren. Zu diesen z\u00e4hlen Abfragen nach unbekannten Datensatztypen, \u00fcberm\u00e4\u00dfig lange Dom\u00e4nennamen, ungew\u00f6hnliche Zonen oder untypische Abfrageh\u00e4ufigkeit. Au\u00dferdem wird das Datenvolumen \u00fcberwacht, das via DNS zur\u00fcckgegeben wird. Solche Abweichungen werden als potenzielle Bedrohungen betrachtet und erh\u00f6hen somit die Risikobewertung des Hosts.<\/p>\n<h3>Profilerstellung f\u00fcr Netzwerkaktivit\u00e4ten<\/h3>\n<p>Hier werden Verbindungen zwischen Computern sowohl innerhalb des Netzwerks als auch zu externen Ressourcen \u00fcberwacht. Diese Regeln fixieren erstmalige Verbindungen mit neuen Ports, Kontakte mit bisher unbekannten Hosts, ungew\u00f6hnliches Volumen bei ausgehendem Datenverkehr und Zugriff auf Verwaltungsdienste. Alle Aktionen, die vom normalen Verhalten abweichen, generieren Warnungen und erh\u00f6hen den Risikowert.<\/p>\n<h3>Profilerstellung f\u00fcr Prozesse<\/h3>\n<p>Dieser Abschnitt dient der \u00dcberwachung von Programmen, die aus Windows-Systemordnern gestartet werden. Wenn eine neue ausf\u00fchrbare Datei zum ersten Mal aus den Verzeichnissen System32 oder SysWOW64 auf einem bestimmten Computer ausgef\u00fchrt wird, wird dies als Anomalie betrachtet. Dadurch erh\u00f6ht sich die Risikobewertung f\u00fcr den Nutzer, der den Prozess initiiert hat.<\/p>\n<h3>Profilerstellung f\u00fcr PowerShell<\/h3>\n<p>Mit diesem Abschnitt werden die Quellen von PowerShell-Skriptausf\u00fchrungen verfolgt. Wenn ein Skript erstmals aus einem nicht standardm\u00e4\u00dfigen Verzeichnis gestartet wird (nicht aus einem typischen Verzeichnis wie Programme oder Windows), wird die Aktion als verd\u00e4chtig markiert und erh\u00f6ht die Risikobewertung des Nutzers.<\/p>\n<h3>VPN-\u00dcberwachung<\/h3>\n<p>Hier wird eine Vielzahl von Ereignissen als riskant gekennzeichnet, darunter Anmeldungen aus L\u00e4ndern, die zuvor nicht mit dem Benutzerprofil verkn\u00fcpft waren, zu schneller Standortwechsel, ungew\u00f6hnliches Datenvolumen via VPN, \u00c4nderungen des VPN-Clients und mehrere fehlgeschlagene Anmeldeversuche. Jedes dieser Ereignisse resultiert in einer h\u00f6heren Risikobewertung f\u00fcr das Benutzerkonto.<\/p>\n<p>Die Verwendung dieser UEBA-Regeln hilft uns, komplexe Angriffe zu erkennen und durch die Analyse von Verhaltenskontexten Fehlalarme zu reduzieren. Dadurch wird die Genauigkeit unserer Analysen erheblich verbessert und Sicherheitsanalysten werden entlastet. Analysten, die UEBA und KI zur Risikobewertung von Objekten verwenden, k\u00f6nnen schneller und besser auf Vorf\u00e4lle reagieren und diese pr\u00e4ziser priorisieren. In Kombination mit der automatischen Erstellung von Baselines f\u00fcr typisches Verhalten erh\u00f6ht dies die Effizienz von Sicherheitsteams wesentlich. Die Experten m\u00fcssen sich nicht mit Routineaufgaben auseinandersetzen, und verf\u00fcgen \u00fcber einen umfassenderen und genaueren Verhaltenskontext f\u00fcr die Bedrohungserkennung und Reaktion.<\/p>\n<p>Wir verbessern die Benutzerfreundlichkeit unseres SIEM Systems laufend. Alle Neuigkeiten \u00fcber die Kaspersky Unified Monitoring and Analysis Platform findest du auf der <a href=\"https:\/\/www.kaspersky.de\/enterprise-security\/unified-monitoring-and-analysis-platform?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">offiziellen Produktseite<\/a>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"32334\">\n","protected":false},"excerpt":{"rendered":"<p>Cyberbedrohungen k\u00f6nnen erkannt werden, indem das Verhalten von Nutzern, Ger\u00e4ten, Programmen und anderen Objekten auf Anomalien analysiert wird.<\/p>\n","protected":false},"author":2757,"featured_media":32572,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,3108],"tags":[1520,3294,4219],"class_list":{"0":"post-32571","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-ki","11":"tag-siem","12":"tag-ueba"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ueba-rules-in-kaspersky-siem\/32571\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ueba-rules-in-kaspersky-siem\/29363\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ueba-rules-in-kaspersky-siem\/24478\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/ueba-rules-in-kaspersky-siem\/12724\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ueba-rules-in-kaspersky-siem\/29314\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/ueba-rules-in-kaspersky-siem\/28426\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ueba-rules-in-kaspersky-siem\/29992\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ueba-rules-in-kaspersky-siem\/40250\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ueba-rules-in-kaspersky-siem\/13685\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ueba-rules-in-kaspersky-siem\/54060\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ueba-rules-in-kaspersky-siem\/23087\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ueba-rules-in-kaspersky-siem\/29542\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ueba-rules-in-kaspersky-siem\/35230\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ueba-rules-in-kaspersky-siem\/34877\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/siem\/","name":"siem"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32571","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2757"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=32571"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32571\/revisions"}],"predecessor-version":[{"id":32577,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32571\/revisions\/32577"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/32572"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=32571"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=32571"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=32571"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}