Verteidigung und Betrieb
Detektive Kontrollen
Auch bekannt als: Erkennungskontrollen, Überwachungskontrollen
Definition
Sicherheitsmaßnahmen, die bösartige Aktivitäten, Richtlinienverstöße oder Anomalien nach ihrem Auftreten in einer Umgebung erkennen und alarmieren.
Beispiele
- SIEM-Regel, die ausgelöst wird, wenn sich ein Dienstkonto erstmals interaktiv anmeldet.
- EDR-Alarm bei verdächtiger PowerShell-Ausführung, die aus einem Word-Dokument heraus gestartet wird.
Verwandte Begriffe
Präventive Kontrollen
Kontrollen, die ein Sicherheitsereignis von vornherein verhindern sollen, indem sie Gelegenheit oder Fähigkeit zum Handeln entfernen.
Korrektive Kontrollen
Sicherheitsmaßnahmen, die nach einem Vorfall greifen, um Schaden zu begrenzen, Bedrohungen zu beseitigen und Systeme in einen bekannt sicheren Zustand zurückzuführen.
Compensating Controls
Compensating Controls — definition coming soon.
SIEM
Plattform, die Sicherheits-Telemetrie aus dem gesamten Unternehmen aggregiert, normalisiert und korreliert, um Erkennung, Untersuchung, Compliance und Reporting zu ermöglichen.
EDR (Endpoint Detection and Response)
Endpoint-Sicherheitstechnologie, die fortlaufend Prozess-, Datei-, Registry- und Netzwerkaktivitäten aufzeichnet, um Bedrohungen auf Hosts zu erkennen, zu untersuchen und darauf zu reagieren.
Mean Time to Detect (MTTD)
Mean Time to Detect (MTTD) — definition coming soon.