Ein Alarm zeigt einen Benutzer, der sich aus Paris und fünf Minuten später aus Singapur anmeldet. Bevor Sie einen Vorfall ausrufen, was prüfen Sie ZUERST?
Kurzantwort
Validieren Sie vor dem Eskalieren. Unternehmens-VPNs, Cloud-Proxys (CASB oder M365-Dienst-IPs) und Mobilfunkanbieter erzeugen routinemäßig falsche „unmögliche Reisen“; prüfen Sie daher die Egress-IPs, das MFA-Ergebnis und das Gerät/den User-Agent, bevor Sie handeln. Bei jedem Treffer automatisch zu sperren verursacht Alarmmüdigkeit und untergräbt das Vertrauen der Nutzer in das SOC. Anzunehmen, es sei immer ein Fehlalarm, übersieht eine echte Kontoübernahme. Den Vorgesetzten anzuschreiben ist langsam und keine Kontrolle — die Protokolle antworten schneller und zuverlässiger.
Alarme zu „unmöglicher Reise“ sind volumenstark und fehlalarmreich, weshalb genau sie einem Junior-Analysten zur Prüfung vorgelegt werden: Reagieren Sie, oder untersuchen Sie? Der richtige erste Schritt ist, das Signal zu validieren — mit den bereits vorhandenen Daten, bevor Sie einen Nutzer stören oder einen Vorfall ausrufen.
Warum Validierung zuerst kommt
Die Geolokalisierung wird aus der IP abgeleitet, und IPs lügen im Unternehmen ständig. Die „Singapur“-Anmeldung kann ein Unternehmens-VPN-Konzentrator, ein Cloud-Egress (M365-Backend-Dienst-IPs, ein CASB-Proxy) oder ein Mobilfunkanbieter sein, der über ein fernes Gateway routet. Sie prüfen also:
- Die Egress-IP / ASN jeder Anmeldung — ist eine ein bekannter Unternehmens- oder Cloud-Bereich?
- Das MFA-Ergebnis — war ein phishing-resistenter Faktor erfolgreich, oder wurde MFA übersprungen/ist fehlgeschlagen?
- Das Gerät und der User-Agent — dasselbe verwaltete Gerät oder ein neuer unbekannter Client?
Diese Felder lösen den Alarm meist in unter einer Minute und sagen Ihnen, ob er harmlos ist oder eine echte Kontoübernahme, die eine Eskalation verdient.
Warum die anderen Optionen falsch sind
- Sperren und ein P1 eröffnen — bei jeder unmöglichen Reise zu sperren ertränkt das SOC in P1s, stört legitime Nutzer und lehrt das Unternehmen, dass die Sicherheit Fehlalarm schlägt. Reservieren Sie die Sperre für eine bestätigte Kompromittierung.
- Immer ein Fehlalarm — das faule Spiegelbild. Unmögliche Reise ist ein echter ATO-Indikator; sie standardmäßig abzutun bedeutet, den echten Angriff durchzuwinken, wenn er kommt.
- Den Vorgesetzten anschreiben — langsam, indirekt und keine Kontrolle. Die Antwort des Vorgesetzten sagt Ihnen nicht, was die Auth-Protokolle sagen, und Sie haben Verweildauer mit dem Warten verbrannt.
Was der Interviewer prüft
Er will diszipliniertes Triage von einem Junior sehen: vor dem Handeln mit Protokollen anreichern und validieren, eine harmlose Egress-Eigenheit von einer echten Übernahme unterscheiden und nur auf Beweise hin eskalieren. Die VPN-/Cloud-Egress-Erklärung und die MFA-/Geräteprüfung zu nennen zeigt, dass Sie verstehen, warum diese Alarme rauschen und wie man Signal von Rauschen trennt, ohne sie zu ignorieren oder überzureagieren.
Wahrscheinliche Anschlussfragen
- Welche konkreten Protokollfelder würden hier eine echte Übernahme bestätigen oder ausschließen?
- Wenn die MFA von beiden Standorten erfolgreich war, macht das die Lage sicher oder verdächtiger?
- Wie würden Sie diese Erkennung anpassen, um bekannte Unternehmens-Egress zuzulassen, ohne für echte Angriffe blind zu werden?