Skip to content

Montag, 9 Uhr, vier Alarme sind offen. Welchen bearbeiten Sie ZUERST?

Kurzantwort

Triagieren Sie nach Wirkung und Erreichbarkeit: Credential Dumping (eine mimikatz-Signatur) auf einem Domänencontroller ist ein Kronjuwelen-Ereignis, das zur vollständigen Domänenkompromittierung führen kann; bearbeiten Sie es zuerst. Der externe Portscan wurde bereits vom IDS blockiert, die nicht genehmigte Browser-Erweiterung ist von geringer Schwere, und ein abgelaufenes TLS-Zertifikat auf einer internen Testmaschine ist informativ. Die zentrale SOC-Fähigkeit ist die Priorisierung nach Wirkungsradius und Eskalationswahrscheinlichkeit, nicht nach Alarmalter oder Lautstärke.

Triage ist der tägliche Kern der SOC-Arbeit, und diese Frage trennt Analysten, die auf Alarmvolumen oder Aktualität reagieren, von jenen, die über Wirkung und Wahrscheinlichkeit nachdenken. Vier Alarme sind offen; nur einer ist ein potenzieller Weg zur vollständigen Kompromittierung.

Warum der Domänencontroller-Alarm gewinnt

Ein Credential-Dumping-Tool (eine mimikatz-Signatur), das auf einem Domänencontroller ausgeführt wird, kommt dem Worst Case nahe. Der DC hält die Schlüssel zum Königreich — das Auslesen von LSASS oder der NTDS.dit-Datenbank kann alle Domänen-Anmeldedaten preisgeben, einschließlich Domänen-Admin und des krbtgt-Hashes (was Golden Tickets ermöglicht). Das ist aktive Post-Exploitation auf einem Kronjuwelen-Asset mit direktem Weg zur domänenweiten Kontrolle. Hohe Wirkung, hohe Eskalationswahrscheinlichkeit, gerade laufend: er geht zuerst.

Warum die anderen warten

  • Blockierter Portscan — das IDS hat ihn bereits verworfen. Verhinderte Aufklärung ist von geringer Dringlichkeit; es gibt keinen aktiven Stützpunkt zu verfolgen.
  • Nicht genehmigte Browser-Erweiterung — ein Richtlinien-/Hygieneproblem, geringe Schwere. Bearbeitenswert, aber keine aktive Intrusion auf kritischer Infrastruktur.
  • Abgelaufenes TLS-Zertifikat auf einer internen Testmaschineinformativ. Keine Verletzung von Vertraulichkeit oder Integrität, kein Angreifer, und es ist ein Nicht-Produktivsystem. Das ist die niedrigste Priorität der vier.

Das Priorisierungsprinzip

Ordnen Sie nach Wirkungsradius (wie viel Schaden, wenn echt) und Wahrscheinlichkeit/Stadium (aktive Ausnutzung oder bereits gemildertes Rauschen?). Der DC-Alarm ist auf beiden Achsen hoch; die anderen sind auf einer oder beiden niedrig. Insbesondere priorisieren Sie nicht nach dem ältesten, lautesten oder am leichtesten zu schließenden Alarm — so werden echte Vorfälle unter Beschäftigungstherapie begraben.

Was der Interviewer prüft

Er will strukturierte Triage sehen: das Kronjuwelen-Asset identifizieren, aktive Post-Exploitation erkennen und artikulieren, warum die anderen drei warten können. Ein Bonussignal ist, die nächsten Schritte auf dem DC zu benennen — isolieren, Speicher erfassen, unternehmensweite Anmeldedaten-Resets erzwingen und auf eine krbtgt-Kompromittierung prüfen — was zeigt, dass Sie die Tragweite verstehen, nicht nur die Reihenfolge.

Wahrscheinliche Anschlussfragen

  • Warum ändert ein Domänencontroller die Schwere-Bewertung gegenüber demselben Alarm auf einer Workstation?
  • Welche Sofortmaßnahmen folgen, sobald Sie Credential Dumping auf dem DC bestätigt haben?
  • Wie würden Sie die Depriorisierung der anderen drei einem Manager begründen, der fragt, warum sie noch offen sind?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.