Montag, 9 Uhr, vier Alarme sind offen. Welchen bearbeiten Sie ZUERST?
Kurzantwort
Triagieren Sie nach Wirkung und Erreichbarkeit: Credential Dumping (eine mimikatz-Signatur) auf einem Domänencontroller ist ein Kronjuwelen-Ereignis, das zur vollständigen Domänenkompromittierung führen kann; bearbeiten Sie es zuerst. Der externe Portscan wurde bereits vom IDS blockiert, die nicht genehmigte Browser-Erweiterung ist von geringer Schwere, und ein abgelaufenes TLS-Zertifikat auf einer internen Testmaschine ist informativ. Die zentrale SOC-Fähigkeit ist die Priorisierung nach Wirkungsradius und Eskalationswahrscheinlichkeit, nicht nach Alarmalter oder Lautstärke.
Triage ist der tägliche Kern der SOC-Arbeit, und diese Frage trennt Analysten, die auf Alarmvolumen oder Aktualität reagieren, von jenen, die über Wirkung und Wahrscheinlichkeit nachdenken. Vier Alarme sind offen; nur einer ist ein potenzieller Weg zur vollständigen Kompromittierung.
Warum der Domänencontroller-Alarm gewinnt
Ein Credential-Dumping-Tool (eine mimikatz-Signatur), das auf einem Domänencontroller ausgeführt wird, kommt dem Worst Case nahe. Der DC hält die Schlüssel zum Königreich — das Auslesen von LSASS oder der NTDS.dit-Datenbank kann alle Domänen-Anmeldedaten preisgeben, einschließlich Domänen-Admin und des krbtgt-Hashes (was Golden Tickets ermöglicht). Das ist aktive Post-Exploitation auf einem Kronjuwelen-Asset mit direktem Weg zur domänenweiten Kontrolle. Hohe Wirkung, hohe Eskalationswahrscheinlichkeit, gerade laufend: er geht zuerst.
Warum die anderen warten
- Blockierter Portscan — das IDS hat ihn bereits verworfen. Verhinderte Aufklärung ist von geringer Dringlichkeit; es gibt keinen aktiven Stützpunkt zu verfolgen.
- Nicht genehmigte Browser-Erweiterung — ein Richtlinien-/Hygieneproblem, geringe Schwere. Bearbeitenswert, aber keine aktive Intrusion auf kritischer Infrastruktur.
- Abgelaufenes TLS-Zertifikat auf einer internen Testmaschine — informativ. Keine Verletzung von Vertraulichkeit oder Integrität, kein Angreifer, und es ist ein Nicht-Produktivsystem. Das ist die niedrigste Priorität der vier.
Das Priorisierungsprinzip
Ordnen Sie nach Wirkungsradius (wie viel Schaden, wenn echt) und Wahrscheinlichkeit/Stadium (aktive Ausnutzung oder bereits gemildertes Rauschen?). Der DC-Alarm ist auf beiden Achsen hoch; die anderen sind auf einer oder beiden niedrig. Insbesondere priorisieren Sie nicht nach dem ältesten, lautesten oder am leichtesten zu schließenden Alarm — so werden echte Vorfälle unter Beschäftigungstherapie begraben.
Was der Interviewer prüft
Er will strukturierte Triage sehen: das Kronjuwelen-Asset identifizieren, aktive Post-Exploitation erkennen und artikulieren, warum die anderen drei warten können. Ein Bonussignal ist, die nächsten Schritte auf dem DC zu benennen — isolieren, Speicher erfassen, unternehmensweite Anmeldedaten-Resets erzwingen und auf eine krbtgt-Kompromittierung prüfen — was zeigt, dass Sie die Tragweite verstehen, nicht nur die Reihenfolge.
Wahrscheinliche Anschlussfragen
- Warum ändert ein Domänencontroller die Schwere-Bewertung gegenüber demselben Alarm auf einer Workstation?
- Welche Sofortmaßnahmen folgen, sobald Sie Credential Dumping auf dem DC bestätigt haben?
- Wie würden Sie die Depriorisierung der anderen drei einem Manager begründen, der fragt, warum sie noch offen sind?