Detektive Kontrollen
Was ist Detektive Kontrollen?
Detektive KontrollenSicherheitsmaßnahmen, die bösartige Aktivitäten, Richtlinienverstöße oder Anomalien nach ihrem Auftreten in einer Umgebung erkennen und alarmieren.
Detektive Kontrollen sind Schutzmaßnahmen, die Sicherheitsvorfälle aufdecken und melden, statt sie direkt zu unterbinden. Dazu zählen SIEM-Korrelationsregeln, IDS-Sensoren, EDR-Telemetrie, Dateiintegritätsüberwachung, Audit-Logs und Anomalie-Analytik. Ihr Wert liegt darin, die Verweilzeit zwischen Kompromittierung und Entdeckung zu verkürzen, die Incident Response zu speisen und forensische Beweise zu sichern. Sie ergänzen präventive Kontrollen: Wenn die Prävention versagt, sorgt die Detektion dafür, dass der Vorfall nicht unbemerkt bleibt. Ihre Wirksamkeit wird über MITRE-ATT&CK-Abdeckung, Alarmqualität und Kennzahlen wie MTTD gemessen.
● Beispiele
- 01
SIEM-Regel, die ausgelöst wird, wenn sich ein Dienstkonto erstmals interaktiv anmeldet.
- 02
EDR-Alarm bei verdächtiger PowerShell-Ausführung, die aus einem Word-Dokument heraus gestartet wird.
● Häufige Fragen
Was ist Detektive Kontrollen?
Sicherheitsmaßnahmen, die bösartige Aktivitäten, Richtlinienverstöße oder Anomalien nach ihrem Auftreten in einer Umgebung erkennen und alarmieren. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Detektive Kontrollen?
Sicherheitsmaßnahmen, die bösartige Aktivitäten, Richtlinienverstöße oder Anomalien nach ihrem Auftreten in einer Umgebung erkennen und alarmieren.
Wie schützt man sich gegen Detektive Kontrollen?
Schutzmaßnahmen gegen Detektive Kontrollen kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Detektive Kontrollen?
Übliche alternative Bezeichnungen: Erkennungskontrollen, Überwachungskontrollen.