Verhaltenserkennung
Was ist Verhaltenserkennung?
VerhaltenserkennungErkennungsansatz, der schaedliches Verhalten an der Laufzeit von Prozessen, Nutzern und Netzflussen identifiziert, statt sich auf statische Dateisignaturen zu stutzen.
Verhaltenserkennung beobachtet, was Code auf einem System wirklich tut — Prozessbaeume, Eltern-Kind-Beziehungen, API-Aufrufe, Datei- und Registry-Schreibvorgaenge, Netzwerk-Ziele, Befehlszeilenargumente, geplante Tasks — und markiert Sequenzen, die bekannten Angreifer-Tradecraft entsprechen. Regeln werden oft in Sigma oder Hersteller-Sprachen formuliert und an MITRE-ATT&CK-Techniken wie T1059 (Command and Scripting Interpreter) oder T1547 (Boot or Logon Autostart) angelehnt. NGAV- und EDR-Engines von CrowdStrike, SentinelOne, Microsoft Defender for Endpoint, Cybereason und Elastic implementieren das in Echtzeit. Im Gegensatz zur Signatursuche erkennt Verhaltensanalyse polymorphe, gepackte und Fileless-Malware, braucht aber reiche Telemetrie (Sysmon, EDR, Audit) und Tuning, um Fehlalarme im Griff zu halten.
● Beispiele
- 01
EDR-Regel, die feuert, wenn Word PowerShell startet, das von einer externen IP laedt — klassisches Makro-Intrusion-Verhalten.
- 02
Defender for Endpoint erkennt Credential Dumping uber LSASS-Memory-Reads aus einem Nicht-System-Prozess.
● Häufige Fragen
Was ist Verhaltenserkennung?
Erkennungsansatz, der schaedliches Verhalten an der Laufzeit von Prozessen, Nutzern und Netzflussen identifiziert, statt sich auf statische Dateisignaturen zu stutzen. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Verhaltenserkennung?
Erkennungsansatz, der schaedliches Verhalten an der Laufzeit von Prozessen, Nutzern und Netzflussen identifiziert, statt sich auf statische Dateisignaturen zu stutzen.
Wie funktioniert Verhaltenserkennung?
Verhaltenserkennung beobachtet, was Code auf einem System wirklich tut — Prozessbaeume, Eltern-Kind-Beziehungen, API-Aufrufe, Datei- und Registry-Schreibvorgaenge, Netzwerk-Ziele, Befehlszeilenargumente, geplante Tasks — und markiert Sequenzen, die bekannten Angreifer-Tradecraft entsprechen. Regeln werden oft in Sigma oder Hersteller-Sprachen formuliert und an MITRE-ATT&CK-Techniken wie T1059 (Command and Scripting Interpreter) oder T1547 (Boot or Logon Autostart) angelehnt. NGAV- und EDR-Engines von CrowdStrike, SentinelOne, Microsoft Defender for Endpoint, Cybereason und Elastic implementieren das in Echtzeit. Im Gegensatz zur Signatursuche erkennt Verhaltensanalyse polymorphe, gepackte und Fileless-Malware, braucht aber reiche Telemetrie (Sysmon, EDR, Audit) und Tuning, um Fehlalarme im Griff zu halten.
Wie schützt man sich gegen Verhaltenserkennung?
Schutzmaßnahmen gegen Verhaltenserkennung kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Verhaltenserkennung?
Übliche alternative Bezeichnungen: Verhaltensbasierte Erkennung, Behavioral Analytics.
● Verwandte Begriffe
- defense-ops№ 473
Heuristische Erkennung
Erkennungsmethode mit Daumenregeln — verdaechtige Codemuster, Packer, ungewoehnliche Strings, API-Kombinationen — zur Markierung wahrscheinlich schaedlicher Dateien ohne exakte Signatur.
- network-security№ 048
Anomaliebasierte Erkennung
Ein Erkennungsansatz, der eine Baseline normalen Verhaltens aufbaut und Abweichungen davon als potenziell bösartig kennzeichnet.
- defense-ops№ 725
Next-Generation Antivirus (NGAV)
Endpoint-Schutz, der Signaturen um ML-Modelle, Verhaltensanalyse und Exploit-Mitigation erganzt, um unbekannte und Fileless-Bedrohungen zu stoppen.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Endpoint-Sicherheitstechnologie, die fortlaufend Prozess-, Datei-, Registry- und Netzwerkaktivitäten aufzeichnet, um Bedrohungen auf Hosts zu erkennen, zu untersuchen und darauf zu reagieren.
- compliance№ 687
MITRE ATT&CK
Global zugängliche, von MITRE gepflegte Wissensdatenbank über Taktiken und Techniken realer Angreifer.
- malware№ 417
Dateilose Malware
Schadsoftware, die hauptsächlich im Arbeitsspeicher läuft und vertrauenswürdige Systemwerkzeuge nutzt, ohne klassische ausführbare Dateien auf der Festplatte.