Log-Korrelation
Was ist Log-Korrelation?
Log-KorrelationVerknuepfung von Ereignissen aus mehreren Log-Quellen ueber gemeinsame Felder, Zeitfenster oder Sequenzen, um mehrstufige Aktivitaeten sichtbar zu machen.
Log-Korrelation wird von SIEM-Regelwerken und Detection-Pipelines durchgefuehrt, die zusammengehoerende Ereignisse ueber Hosts, Benutzer und Netzwerksensoren verbinden. Regeln joinen typischerweise auf Identifikatoren wie Benutzername, Quell-IP, Hostname oder Prozess-Hash und setzen Zeitbedingungen (zum Beispiel fuenf fehlgeschlagene Logins gefolgt von einem erfolgreichen innerhalb zehn Minuten). Stateful-Engines verfolgen Sessions, zaehlen Vorkommen und loesen Alarme aus, wenn Muster erkannt werden. Gute Korrelation reduziert Rauschen gegenueber Einzelsignaturen und macht Kill-Chain-Stufen sichtbar. Herausforderungen sind Schema-Normalisierung, Zeitversatz, hochkardinale Schluessel und Regeln, die generalisieren ohne zu viele False Positives.
● Beispiele
- 01
Klick auf eine Phishing-Mail mit einer Prozessanomalie auf demselben Arbeitsplatz innerhalb von fuenfzehn Minuten korrelieren.
- 02
VPN-Login aus einem neuen Land mit der Zuweisung einer privilegierten Rolle in der Cloud-Control-Plane verbinden.
● Häufige Fragen
Was ist Log-Korrelation?
Verknuepfung von Ereignissen aus mehreren Log-Quellen ueber gemeinsame Felder, Zeitfenster oder Sequenzen, um mehrstufige Aktivitaeten sichtbar zu machen. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Log-Korrelation?
Verknuepfung von Ereignissen aus mehreren Log-Quellen ueber gemeinsame Felder, Zeitfenster oder Sequenzen, um mehrstufige Aktivitaeten sichtbar zu machen.
Wie funktioniert Log-Korrelation?
Log-Korrelation wird von SIEM-Regelwerken und Detection-Pipelines durchgefuehrt, die zusammengehoerende Ereignisse ueber Hosts, Benutzer und Netzwerksensoren verbinden. Regeln joinen typischerweise auf Identifikatoren wie Benutzername, Quell-IP, Hostname oder Prozess-Hash und setzen Zeitbedingungen (zum Beispiel fuenf fehlgeschlagene Logins gefolgt von einem erfolgreichen innerhalb zehn Minuten). Stateful-Engines verfolgen Sessions, zaehlen Vorkommen und loesen Alarme aus, wenn Muster erkannt werden. Gute Korrelation reduziert Rauschen gegenueber Einzelsignaturen und macht Kill-Chain-Stufen sichtbar. Herausforderungen sind Schema-Normalisierung, Zeitversatz, hochkardinale Schluessel und Regeln, die generalisieren ohne zu viele False Positives.
Wie schützt man sich gegen Log-Korrelation?
Schutzmaßnahmen gegen Log-Korrelation kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Log-Korrelation?
Übliche alternative Bezeichnungen: Ereigniskorrelation, Korrelationsregel.
● Verwandte Begriffe
- defense-ops№ 1039
SIEM
Plattform, die Sicherheits-Telemetrie aus dem gesamten Unternehmen aggregiert, normalisiert und korreliert, um Erkennung, Untersuchung, Compliance und Reporting zu ermöglichen.
- defense-ops№ 626
Log-Aggregation
Das Sammeln, Normalisieren und zentrale Speichern von Ereignisprotokollen vieler Systeme in einer einzigen Plattform fuer Suche, Analyse und Aufbewahrung.
- defense-ops№ 307
Detection Engineering
Disziplin, Sicherheits-Detections wie Code zu entwerfen, zu testen, auszurollen und zu pflegen, mit messbarer Abdeckung gegnerischer Techniken.
- defense-ops№ 1147
Threat Hunting
Proaktive, hypothesengetriebene Suche in der Telemetrie nach Bedrohungen, die bestehenden Detektionen entgangen sind.
- defense-ops№ 1062
SOAR
Plattform, die SOC-Workflows automatisiert und orchestriert, indem sie Erkennungen, Anreicherungen und Response-Aktionen in Playbooks verkettet, die übergreifend über Security-Tools ausgeführt werden.