Incident Correlation (Vorfallkorrelation)
Incident Correlation ist ein Prozess in der IT-SicherheitIT-Sicherheit IT-Sicherheit bezieht sich auf den Schutz von Informationstechnologiesystemen, Netzwerken und Daten vor unbefugtem Zugriff, Missbrauch, ... Mehr, bei dem mehrere einzelne Sicherheitsereignisse oder Alarme zusammengeführt und analysiert werden, um zusammenhängende Sicherheitsvorfälle zu erkennen. Ziel ist es, durch die Zusammenführung von Daten die Erkennung komplexer Angriffe zu verbessern und die Zahl der Fehlalarme zu reduzieren.
Die Korrelation ist ein wesentlicher Bestandteil von SIEM- und XDR-Systemen und ermöglicht es, isolierte Ereignisse in einen größeren Kontext zu setzen, z. B. das Erkennen von Angriffen mit mehreren Schritten (Kill ChainKill Chain (Cyber Kill Chain) Die Cyber Kill Chain ist ein Modell zur systematischen Darstellung von Phasen eines Cyberangriffs. Ursprünglich von Loc... Mehr).
Wie funktioniert Incident Correlation?
- Regelbasierte Korrelation: Definierte Regeln verbinden Events, die zusammengehören (z. B. mehrere fehlgeschlagene Logins gefolgt von einem erfolgreichen)
- Verhaltensbasierte Korrelation: Identifikation ungewöhnlicher Muster über Zeit und Nutzer
- Machine LearningMachine Learning Machine Learning (Maschinelles Lernen) ist ein Teilgebiet der künstlichen Intelligenz, das Computern ermöglicht, aus Daten zu lerne... Mehr & KI: Automatisierte Erkennung komplexer Zusammenhänge und Anomalien
Vorteile der Incident Correlation:
- Erhöhung der Erkennungsrate von Mehrstufenangriffen
- Reduzierung von Alert FatigueAlert Fatigue (Alarmmüdigkeit) Alert Fatigue beschreibt das Phänomen, dass Sicherheitsteams aufgrund einer hohen Anzahl von Sicherheitsalarmen zuneh... Mehr durch Filterung irrelevanter Ereignisse
- Verbesserung der Reaktionszeit im Security Operations Center (SOC)Security Operations Center (SOC) Security Operations Center (SOC) ist eine zentrale Einheit in einem Unternehmen, die sich auf die Überwachung, Erken... Mehr
Beispiele:
- Kombination von verdächtigen Anmeldeversuchen und ungewöhnlichem Datenverkehr
- Verknüpfung von Phishing-Mails mit nachfolgenden Anmeldeversuchen
Verwandte Begriffe:
SIEMSIEM (Security Information and Event Management) SIEM ist eine zentrale Technologie im Bereich der Cybersicherheit, die Sicherheitsinformationen und E... Mehr, XDRXDR (Extended Detection and Response) Extended Detection and Response (XDR) ist eine erweiterte Sicherheitsplattform, die Daten und Bedrohungen über ... Mehr, SOCSOC (Security Operations Center) Ein Security Operations Center (SOC) ist eine spezialisierte Organisationseinheit, die für die Überwachung, Erkennu... Mehr, Alert Fatigue, Threat HuntingThreat Hunting Threat Hunting bezeichnet einen proaktiven Sicherheitsansatz, bei dem Sicherheitsexperten gezielt nach Hinweisen auf bisher unentdeckte... Mehr, Kill Chain, Playbook AutomationPlaybook Automation Playbook Automation bezeichnet die automatisierte Durchführung vordefinierter Reaktionsprozesse auf Sicherheitsvorfälle mithilfe... Mehr, ForensicsForensics (Digitale Forensik) Digitale Forensik – auch Cyber Forensics oder IT-Forensik genannt – bezeichnet die systematische Sammlung, Analyse u... Mehr