Leistung · Detection Engineering
Detection Engineering: echte Bedrohungen vom Rauschen trennen
Ein SIEM oder EDR ist nur so gut wie seine Erkennungsregeln. Sind diese Regeln zu grob, ertrinkt Ihr Team in Fehlalarmen und übersieht im Zweifel den einen, der wirklich zählt. Wir bauen und schärfen die Erkennung (Detections) so, dass echte Angriffe auffallen und der Lärm leiser wird.
Warum reichen Standard-Regeln nicht?
Die mitgelieferten Standard-Regeln einer Plattform sind ein guter Anfang, aber kein Ziel. Sie kennen weder Ihre konkrete Umgebung noch Ihre normalen Abläufe und schlagen deshalb oft am falschen Ort Alarm. Mit der Zeit gewöhnt sich Ihr Team an die Fehlalarme und reagiert träger, genau das nutzen Angreifer aus. Erst auf Sie zugeschnittene Detections trennen echte Angriffe vom Rauschen:
- Zu viele Fehlalarme führen dazu, dass echte Alarme im Rauschen untergehen.
- Standard-Regeln passen nicht zu Ihrer konkreten Umgebung und Ihren Abläufen.
- Angreifer-Techniken ändern sich laufend, und Ihre Erkennung muss damit mitwachsen.
Was wir konkret tun
Statt einer langen Liste theoretischer Regeln die konkreten Schritte, mit denen wir Ihre Erkennung scharf stellen:
- Erkennungsregeln entlang MITRE ATT&CK bauen, also an realen Angreifer-Techniken.
- Die relevanten Use-Cases priorisieren, statt blind alles zu überwachen.
- Fehlalarme durch gezieltes Tuning Schritt für Schritt reduzieren.
- Lücken in der Erkennungs-Abdeckung (Coverage) finden und schließen.
- Jede Regel testen und validieren, bevor sie scharf geschaltet wird.
Womit wir arbeiten
Wir arbeiten in den führenden Plattformen und beraten herstellerneutral, denn die Detections gehören dorthin, wo Ihre Daten ohnehin schon zusammenlaufen.
- Microsoft Sentinel (KQL)
- CrowdStrike
- Splunk
- MITRE ATT&CK als Rahmenwerk
Häufige Fragen
Was bringt MITRE ATT&CK?
Es ist eine Art Landkarte realer Angreifer-Techniken. Daran richten wir die Erkennung aus und sehen gleichzeitig, wo Ihre Abdeckung noch Lücken hat.
Wir haben zu viele Alarme, können Sie helfen?
Ja. Wir reduzieren Fehlalarme durch gezieltes Tuning, damit Ihr Team sich auf die echten Vorfälle konzentrieren kann statt auf den Lärm.
Funktioniert das mit unserem SIEM/EDR?
Ja. Wir arbeiten herstellerneutral mit Sentinel, Splunk und CrowdStrike und setzen direkt in der Plattform an, die Sie bereits nutzen.