Lösung 5 – Detection
Erwartete IoCs
Abschnitt betitelt „Erwartete IoCs“| Typ | Wert |
|---|---|
| Domain | update-checker-info.net |
| IP | 10.10.10.50 |
| Port | 8088/tcp |
| URL | /checkin, /exfil |
| User-Agent | CustomClient/1.0 |
IDS-Regel (Beispiel)
Abschnitt betitelt „IDS-Regel (Beispiel)“alert http any any -> any 8088 ( msg:"C2 Beaconing"; content:"/checkin"; http_uri; content:"CustomClient"; http_header;)Massnahmen
Abschnitt betitelt „Massnahmen“Sofort: Rechner isolieren, IP/Domain blocken
Mittelfristig: Logs prüfen, EDR-Scan
Langfristig: Egress-Filtering, Awareness Training
Bewertung (5 Punkte)
Abschnitt betitelt „Bewertung (5 Punkte)“| Kriterium | Punkte |
|---|---|
| IoCs konkret | 1 |
| IoCs vollständig | 1 |
| IDS-Regel-Konzept | 1 |
| Massnahmen sinnvoll | 1 |
| Massnahmen priorisiert | 1 |