Access Gate überwacht den Datenverkehr und löst einen Alert aus, wenn etwas auffällig erscheint – eine Regel, die auf einem Enclave-Flow anspricht, ein unerwarteter Dienst in einer Zone oder ein Gerät, das plötzlich keine Kommunikation mehr zeigt. Erkennungsinhalte müssen nicht von Grund auf neu erstellt werden: Das Produkt wird mit einer kuratierten Regelbibliothek ausgeliefert, die auf industrielle und hybride Netzwerke abgestimmt ist.
Was die Erkennung abdeckt
Access Gate kombiniert drei Signalquellen:
| Quelle | Was erkannt wird | Woher das Signal stammt |
|---|---|---|
| Flow-Regeln (Snort) | Bekannte Schadnutzlasten und Protokollmissbrauch im Enclave-Datenverkehr | Live-Inspektion von Flows auf Overlay-Interfaces |
| Alert-Bibliothek | Häufige betriebliche Fehlkonfigurationen und Sicherheitshygiene-Probleme | Im Produkt enthalten, standardmäßig aktiviert |
| Netzwerkzonen | Aktivitäten, die eine Vertrauensgrenze überschreiten, die sie nicht sollten | Zonen, die Sie in den Einstellungen definieren |
Jedes Signal erscheint in derselben Alerts-Ansicht, mit ausreichend Kontext (Asset, Benutzer, Enclave, Flow), um eine Triage durchzuführen, ohne zwischen Tools wechseln zu müssen.
Integrierte Alert-Bibliothek
Das Produkt wird mit einer festgelegten Liste von Standard-Alerts ausgeliefert. Diese decken Situationen ab, über die Sie vom ersten Tag an informiert sein möchten:
- Ein neues Asset ist in einer überwachten Zone aufgetaucht.
- Ein Gerät, das bisher kommuniziert hat, sendet keine Daten mehr (Erkennung fehlender Assets).
- Ein Dienst lauscht auf einem Port, auf dem er zuvor nie gelauscht hat.
- Ein Flow hat eine Zonengrenze überschritten, die isoliert sein sollte.
- Eine TLS-Sitzung ist auf eine schwache Cipher-Suite zurückgefallen.
Jeden Bibliotheks-Alert können Sie auf der Alerts-Seite deaktivieren oder anpassen.
Regeln konfigurieren
So aktivieren Sie bestimmte Regeln in Ihrem Access Gate
- Navigieren Sie zu Regeln.
- Schalten Sie [Regel] ein oder aus.
Regelauslösungen erscheinen in der Aktivitätszeitachse des Enclaves und in der globalen Alerts-Ansicht.
So leiten Sie Alerts an ein SIEM weiter
- Navigieren Sie zu Regeln.
- Klicken Sie oben rechts auf Weiterleitung konfigurieren.
- Geben Sie die ip:port-Kombination ein, die einen rsyslog-Flow der Alerts empfangen soll.
Netzwerkzonen
Zonen legen fest, welche Teile des Netzwerks miteinander kommunizieren dürfen und welche nicht. Sobald eine Zone definiert ist, wird jeder Flow, der eine Grenze überschreitet, bewertet und protokolliert. Regeln können auf die Grenzüberschreitung selbst ansprechen – nicht nur auf die Nutzlast.
Informationen zum Definieren von Zonen und zum Zuweisen von Richtlinien finden Sie unter Netzwerkzonen für die Erkennung.