Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Netzwerksicherheit Glossar

Network Monitoring / NDR

Network Monitoring überwacht den Netzwerkverkehr auf Anomalien, Ausfälle und Angriffe. Network Detection and Response (NDR) ist die sicherheitsfokussierte Weiterentwicklung: durch Verhaltensanalyse, Machine Learning und Threat Intelligence erkennt NDR auch Zero-Day-Angriffe, laterale Bewegung und Datenexfiltration im internen Netz.

Network Monitoring ist die kontinuierliche Überwachung von Netzwerkgeräten, -verbindungen und -traffic auf Performance-Probleme und Sicherheitsvorfälle. NDR (Network Detection and Response) geht darüber hinaus: Es analysiert den gesamten Netzwerkverkehr verhaltensbasiert und erkennt Angriffe, die Endpoint-Sicherheitslösungen umgehen.

Network Monitoring vs. NDR

Klassisches Network Monitoring

  • Verfügbarkeit: ist der Router/Switch erreichbar?
  • Performance: Bandbreite, Latenz, Paketverlust
  • Konfiguration: Änderungen an Netzwerkgeräten
  • Tools: PRTG, Zabbix, Nagios, LibreNMS

Network Detection and Response (NDR)

  • Sicherheitsfokus: Angriffserkennung im Traffic
  • Verhaltensbasiert: Abweichung von der Baseline
  • Threat Intelligence: bekannte IoCs, C2-Domains
  • ML-basiert: unbekannte Angriffsmuster erkennen
  • Response: manuelle oder automatisierte Reaktion
  • Tools: Darktrace, Vectra, Cisco Stealthwatch, Zeek+SIEM

NDR erkennt was EDR nicht sieht

Szenario: Angreifer nutzt legitime Admin-Tools (WMI, PowerShell Remoting)

  • Endpoint: sieht normale Admin-Prozesse, kein Alarm
  • NDR: sieht ungewöhnlichen East-West-Traffic, Alarm

Szenario: Kompromittiertes IoT-Gerät exfiltriert Daten

  • Endpoint: kein Agent auf IoT-Gerät möglich
  • NDR: sieht DNS-Tunneling-Muster, Alarm

Netzwerkfluss-Analyse - NetFlow/IPFIX

NetFlow erfasst keine vollständigen Pakete (zu viel Speicher), sondern Flussdaten: Quelle, Ziel, Port, Protokoll, Bytes, Pakete, Zeit. Generiert von Routern, Switches und Firewalls.

NetFlow-Eintrag Beispiel:

Src-IP:Port        Dst-IP:Port           Proto  Bytes    Pkts    Start-Time
10.0.1.50:443      93.184.216.34:443     TCP    15.2MB   12400   09:15:03.000

Was NetFlow-Analyse erkennt:

  • Portscans: viele Verbindungen von einer Source
  • Datenexfiltration: ungewöhnlich hohe ausgehende Bytes
  • Beaconing: regelmäßige Verbindungen zur gleichen IP (C2-Indikator)
  • Lateral Movement: ungewöhnliche interne Verbindungsmuster
  • DNS-Tunneling: übermäßig viele DNS-Queries

Open-Source NetFlow-Kollektion mit nfdump/nfsen:

# nfcapd: NetFlow-Kollektor
nfcapd -D -l /var/cache/nfdump -p 2055 -T all

# Analyse: Top-10-Talker (letzte Stunde)
nfdump -R /var/cache/nfdump -n 10 -s record/bytes

# Suche nach verdächtigen DNS-Anfragen-Volumen
nfdump -R /var/cache/nfdump \
  -A srcip -s record/bytes \
  'proto udp and dst port 53' | head -20

Deep Packet Inspection (DPI) und Zeek

Zeek (früher Bro) - Netzwerk-Analyse-Framework

Zeek generiert strukturierte Logs aus Netzwerktraffic ohne Echtzeitblockierung. Es ist extrem wertvoll für Forensik und Threat Hunting.

apt install zeek

Basis-Konfiguration (/etc/zeek/node.cfg):

[zeek]
type=standalone
host=localhost
interface=eth0
# Start:
zeekctl deploy

Zeek-Logs (in /var/log/zeek/current/):

LogInhalt
conn.logalle TCP/UDP/ICMP-Verbindungen
dns.logalle DNS-Abfragen (extrem wertvoll)
http.logHTTP-Requests (User-Agent, URL, Status)
ssl.logTLS-Verbindungen (Certificate, JA3-Hash)
files.logübertragene Dateien (MD5-Hash)
x509.logZertifikat-Details
weird.loganomales Verhalten (RFC-Verletzungen)
notice.logZeek-Alerts

DNS-Log Beispiel:

ts          uid     id.orig_h    query               qtype   answer
1709.123456 Cfk8G0  10.0.1.50   evil.c2server.com   A       45.33.32.156
1709.123457 Cfk8G1  10.0.1.50   evil.c2server.com   A       45.33.32.156
# ↑ Wiederholte Abfragen zur selben Domain = Beaconing-Indikator!

JA3/JA3S - TLS-Fingerprinting:

  • Fingerprint des TLS-Clients (welche Cipher Suites, Extensions?)
  • Bekannte Malware hat bekannte JA3-Hashes
  • Zeek generiert JA3 automatisch in ssl.log
  • Threat Intel: ssl-bl.abuse.ch JA3-Blacklist

Praktische Anomalie-Erkennung

1. Portscan-Erkennung (Zeek Notice-Policy)

event notice(n: Notice::Info) {
  if (n$note == Scan::Port_Scan) {
    print fmt("PORT SCAN von %s", n$src);
  }
}

2. DNS-Tunneling-Verdacht (KQL für Microsoft Sentinel)

DnsEvents
| where TimeGenerated > ago(1h)
| summarize QueryCount=count(), Domains=dcount(Name)
    by ClientIP
| where QueryCount > 500 or Domains > 100
| order by QueryCount desc

3. Beaconing-Erkennung (regelmäßige C2-Verbindungen)

DeviceNetworkEvents
| where TimeGenerated > ago(24h)
| summarize ConnectionCount=count(),
            AvgInterval=avg(TimeGenerated)
    by DeviceName, RemoteIP, RemotePort
| where ConnectionCount > 50
| extend RegularBeacon = ConnectionCount > 100
| where RegularBeacon == true

4. Data-Exfiltration-Erkennung

DeviceNetworkEvents
| where TimeGenerated > ago(24h)
| where RemoteIPType == "Public"
| summarize TotalBytesSent=sum(SentBytes)
    by DeviceName, RemoteIP
| where TotalBytesSent > 100000000  // >100 MB an eine externe IP
| order by TotalBytesSent desc

5. Lateral Movement (ungewöhnliche Admin-Verbindungen)

SecurityEvent
| where EventID in (4624, 4648)  // Logon Events
| where LogonType in (3, 10)     // Network + Remote Interactive
| summarize count() by
    SourceComputerName, TargetComputerName, Account
| where count_ > 10
| order by count_ desc

NDR-Produkte im Vergleich

Open Source / Kostenlos

Zeek + ELK Stack

  • Zeek generiert Logs, Elasticsearch indexiert, Kibana visualisiert
  • Kostenlos, aber Setup-Aufwand (~2 Tage)
  • Ideal für Threat Hunting und Forensik
  • Kein ML/Anomalie-Erkennung out-of-the-box

Suricata + MISP

  • Suricata: Signatur- + Anomalie-Erkennung in Echtzeit
  • MISP: Threat Intelligence Platform (IoC-Feeds)
  • Kombination: neuer IoC in MISP → Suricata-Regel automatisch
  • Kostenlos, aktive Community

Security Onion

  • All-in-One-Distribution: Zeek + Suricata + ELK + Kibana
  • Ideal für den Einstieg in Netzwerk-Monitoring
  • ISO: security-onion.net

Kommerzielle NDR-Lösungen

Darktrace

  • KI-basierte Anomalie-Erkennung (proprietäre KI)
  • „Selbstlernend”: lernt die eigene Umgebung
  • Automated Response (Antigena) möglich
  • Sehr teuer, ab ca. 50.000 EUR/Jahr

Vectra AI

  • Attack Signal Intelligence
  • Fokus: Privilege Escalation, Lateral Movement
  • Gut für Active Directory Monitoring
  • Mid-Market-Preise

Cisco Stealthwatch (Secure Network Analytics)

  • NetFlow-basiert, skaliert für große Netze
  • Integration in Cisco Security-Ökosystem
  • Geeignet für bestehende Cisco-Infrastruktur

Empfehlung für KMU:

  • Zeek + Elastic Security SIEM (Open Source)
  • ExtraHop Reveal(x) (Mid-Market, gutes Preis-Leistungs-Verhältnis)
  • Corelight (Zeek-Enterprise, Support inklusive)

AWARE7 Leistungen zum Thema

Penetrationstest Netzwerk

Ausführlicher Wiki-Artikel

Netzwerksicherheit: Architekturen, Technologien und Best Practices

14 min Lesezeit

Security Operations Center (SOC) und SIEM: Cybersecurity 24/7 überwachen

13 min Lesezeit

Verwandte Begriffe

IDS / IPS (Intrusion Detection/Prevention System) NDR (Network Detection and Response) Netzwerksicherheit SIEM Threat Hunting XDR (Extended Detection & Response)
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung