Aufgabe 5 – Detection & Mitigation
Du leitest aus deinen Erkenntnissen konkrete Indicators of Compromise (IoCs) ab und formulierst Massnahmen zur Erkennung und Abwehr.
Dauer: 15 Minuten
Aufgaben
Abschnitt betitelt „Aufgaben“5.1 Indicators of Compromise (IoCs)
Abschnitt betitelt „5.1 Indicators of Compromise (IoCs)“Aufgabe: Erstelle eine Liste aller IoCs, die du gefunden hast.
IoCs sind konkrete, technische Indikatoren, die auf einen Angriff hinweisen:
| Typ | Beispiel | Dein Fund |
|---|---|---|
| Domain | evil-domain.com | ? |
| IP-Adresse | 192.168.1.100 | ? |
| Port | 8080/tcp | ? |
| URL-Pfad | /malware/callback | ? |
| User-Agent | EvilBot/1.0 | ? |
5.2 IDS-Regeln
Abschnitt betitelt „5.2 IDS-Regeln“Aufgabe: Beschreibe Regeln, die ein Intrusion Detection System (IDS) nutzen könnte.
Du musst keine perfekte Syntax schreiben. Beschreibe in Worten, wonach gesucht werden soll:
Beispiel:"Alert wenn HTTP-Request an Port 8088 geht UND der Pfad '/checkin' enthält UND der User-Agent 'CustomClient' ist"Schreibe mindestens 2 Regeln für:
- Erkennung des Beaconings
- Erkennung der Datenexfiltration
5.3 Massnahmen
Abschnitt betitelt „5.3 Massnahmen“Aufgabe: Welche Massnahmen würdest du dem Unternehmen empfehlen?
Unterteile in:
Sofortmassnahmen (jetzt!)
- Was muss sofort passieren?
Mittelfristige Massnahmen (diese Woche)
- Was sollte zeitnah umgesetzt werden?
Langfristige Massnahmen (strategisch)
- Was verhindert ähnliche Vorfälle in Zukunft?
Für deinen Bericht
Abschnitt betitelt „Für deinen Bericht“- Mindestens 4 konkrete IoCs (mit Typ und Wert)
- 2 IDS-Regel-Beschreibungen
- Mindestens 5 Massnahmen (kategorisiert nach Priorität)
Abschluss
Abschnitt betitelt „Abschluss“Du hast das Malware Lab abgeschlossen. Dein Bericht sollte enthalten:
- Aufgabe 1: Überblick (Protokolle, IPs, Ports)
- Aufgabe 2: DNS-Analyse (Domains, Muster)
- Aufgabe 3: HTTP-Analyse (URLs, User-Agent, Beaconing)
- Aufgabe 4: Timeline
- Aufgabe 5: IoCs und Massnahmen