Skip to content

Sie müssen rekonstruieren, was ein Angreifer über drei Tage hinweg getan hat. Was ist der richtige Ansatz?

Kurzantwort

Eine zuverlässige Vorfallrekonstruktion entsteht durch die Korrelation unabhängiger Telemetrie zu einer Zeitachse: Authentifizierungsprotokolle, EDR-Prozess-/Ausführungsdaten, MAC-Zeitstempel des Dateisystems, Netzwerkflüsse und SIEM-Ereignisse, um Aktionen zu ordnen und den Umfang einzugrenzen. Ein einzelnes Protokoll oder das jüngste Ereignis allein verfehlt die Kette und kann irreführend oder manipuliert sein. Aus einer Quelle zu raten oder den Angreifer zu fragen, sind keine Ermittlungsmethoden. Die Korrelation über unabhängige Quellen offenbart die vollständige Angreiferaktivität und übersteht einen Angreifer, der eine davon bearbeitet hat.

Die Rekonstruktion eines mehrtägigen Einbruchs ist im Grunde ein Korrelationsproblem. Keine einzelne Datenquelle erzählt die ganze Geschichte: Authentifizierungsprotokolle zeigen, wer sich wo anmeldete, das EDR zeigt, was ausgeführt wurde, die MAC-Zeiten (Modify/Access/Change) des Dateisystems zeigen, welche Dateien berührt wurden, Netzwerkflüsse zeigen, wohin Daten gingen, und das SIEM verknüpft die Warnungen miteinander. Jede ist eine Teilansicht. Die Wahrheit tritt zutage, wenn Sie sie zu einer einzigen geordneten Zeitachse zusammenführen.

Warum eine korrelierte Zeitachse gewinnt

  • Sie stellt die Abfolge fest. Sie können den Erstzugriff, dann die Ausführung, dann die laterale Bewegung, dann die Exfiltration sehen — in der richtigen Reihenfolge — wovon Umfangsbestimmung und Ursachenanalyse abhängen.
  • Sie grenzt den Umfang ein. Die Korrelation über Hosts und Konten zeigt, wie weit der Angreifer reichte, und nicht nur, wo Sie zufällig zuerst hinsahen.
  • Sie widersteht der Manipulation. Wenn ein Angreifer ein Protokoll gelöscht hat, zeichnen die anderen unabhängigen Quellen die Aktivität weiterhin auf. Sich an Telemetrie zu verankern, die der Angreifer nicht leicht bearbeiten konnte (zentrale Protokolle, EDR, Netzwerk), macht Ihre Rekonstruktion vertrauenswürdig.

Warum die Ablenker scheitern

  • „Aus einer einzigen Protokolldatei raten" ignoriert alles, was dieses Protokoll nicht erfasst, und ist genau das, was ein Angreifer hofft, dass Sie tun — besonders wenn dieses Protokoll dasjenige ist, das er manipuliert hat.
  • „Den Angreifer fragen" ist keine Ermittlungsmethode; Angreifer lügen, und in der Regel können Sie ohnehin nicht fragen.
  • „Nur das jüngste Ereignis" verfehlt die gesamte Kette, die dorthin führte. Das letzte Ereignis ist die Spitze; die Zeitachse ist der Eisberg.

Was der Interviewer prüft

Ob Sie wie ein forensischer Ermittler denken — unabhängige Quellen zu einer verteidigungsfähigen Zeitachse zusammenfügen, Uhrzeitabweichungen und Manipulation berücksichtigen — statt auf das erstbeste einzelne Artefakt zu reagieren. Auf Senior-Ebene wird erwartet, dass Sie die Quellen benennen und erklären, warum Korrelation, nicht nur, dass Sie korrelieren würden.

Wahrscheinliche Anschlussfragen

  • Wie gehen Sie mit Uhrzeitabweichungen zwischen Quellen um, wenn Sie sie zu einer Zeitachse zusammenführen?
  • Welche Quellen sind für einen Angreifer am schwersten zu manipulieren, und warum verankern Sie sich an diesen?
  • Wie helfen die MAC-Zeiten der Dateien, und wo führen sie in die Irre (z. B. Timestomping)?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.