Aurora Focus optionale Sensoren

Sie können die folgenden Aurora Focus-Sensoren aktivieren, um zusätzliche Daten zu erfassen, die über die standardmäßigen Prozess-, Datei-, Netzwerk-, Registrierungsereignisse hinausgehen. Die Aktivierung optionaler Sensoren kann sich auf die Leistung und die Ressourcennutzung auf Geräten sowie auf die in der Aurora Focus-Datenbank gespeicherte Datenmenge auswirken. Arctic Wolf empfiehlt die Aktivierung optionaler Sensoren bei einer kleinen Anzahl von Geräten, um die Auswirkungen zu beurteilen.

Die optionalen Sensoren werden nur für Windows 64-Bit-Betriebssysteme unterstützt, wenn nicht anders dargestellt.

Sensor

Beschreibung

Bewährte Verfahren

Notizen

Erweitertes Parsing übertragbarer ausführbarer Dateien

Der Aurora Focus-Agent zeichnet Datenfelder auf, die mit übertragbaren ausführbaren Dateien verknüpft sind, z. B. Dateiversion, Importfunktionen und Packertypen.

Signal-Rausch-Verhältnis: Moderat

Potenzielle Auswirkungen auf Datenspeicherung und Leistung: Gering
Empfohlen für:
  • Desktops
  • Laptops
  • Server
  • Die von diesem Sensor erfassten Daten werden zur Unterstützung der erweiterten Analyse übertragbarer ausführbarer Dateien an die Kontextanalyse-Engine weitergeleitet und nicht in der Aurora Focus-Datenbank gespeichert.
  • Die Aktivierung dieses Sensors wirkt sich kaum oder gar nicht auf die Datenspeicherung von Aurora Focus aus.
  • Wenn Sie eine Erkennungsregel hinzufügen und aktivieren, die Zeichenfolgenressourcen analysiert, verbraucht der Aurora Focus-Agent möglicherweise erhebliche CPU- und Speicherressourcen.

Erweiterte PowerShell-Sichtbarkeit

Der Aurora Focus-Agent zeichnet Befehle, Argumente, Skripte und Inhalte von JScript-, PowerShell- (Konsole und integrierte Scripting-Umgebung), VBScript- und VBA-Makroskriptausführungen auf.

Signal-Rausch-Verhältnis: Hoch

Potenzielle Auswirkungen auf Datenspeicherung und Leistung: Gering bis mäßig
Empfohlen für:
  • Desktops
  • Laptops
  • Server

Nicht empfohlen für Microsoft Exchange- und E-Mail-Server.
  • Von Microsoft bereitgestellte Tools und andere Drittanbieterlösungen können bei der Ausführung von Vorgängen stark auf PowerShell angewiesen sein.
  • Um eine optimale Datenspeicherung sicherzustellen, empfiehlt Arctic Wolf Erkennungsausnahmen für vertrauenswürdige Tools zu konfigurieren, die PowerShell intensiv nutzen.

Erweiterte WMI-Sichtbarkeit

Der Aurora Focus-Agent zeichnet zusätzliche WMI-Attribute und -Parameter auf.

Signal-Rausch-Verhältnis: Hoch

Potenzielle Auswirkungen auf Datenspeicherung und Leistung: Gering
Empfohlen für:
  • Desktops
  • Laptops
  • Server
  • Einige Hintergrund- und Wartungsprozesse von Windows nutzen WMI zur Planung von Aufgaben oder Ausführung von Befehlen, was zu plötzlicher hoher WMI-Aktivität führen kann.
  • Arctic Wolf empfiehlt, die WMI-Nutzung in Ihrer Umgebung zu analysieren, bevor Sie diesen Sensor aktivieren.

API-Sensor

Der Aurora Focus-Agent überwacht eine identifizierte Gruppe von Windows-API-Aufrufen.

Signal-Rausch-Verhältnis: Moderat

Potenzielle Auswirkungen auf Datenspeicherung und Leistung: Die Aktivierung dieses Sensors kann sich auf die CPU-Leistung eines Geräts auswirken
Empfohlen für:
  • Desktops
  • Laptops
  • Server
  • Unterstützt auf x86- oder x64-Windows-Betriebssystemen.
  • Erfordert Aurora Protect Desktop-Agent Version 3.0.1003 oder höher.
  • Erfordert Aurora Focus-Agent Version von 3.2 oder höher.

COM-Objekt-Sichtbarkeit

Der Aurora Focus-Agent überwacht COM-Schnittstellen- und API-Aufrufe, um schädliche Verhaltensweisen wie eine geplante Aufgabenerstellung zu erkennen.

Signal-Rausch-Verhältnis: Hoch

Potenzielle Auswirkungen auf Datenspeicherung und Leistung: Die Aktivierung dieses Sensors kann sich auf die CPU-Leistung auswirken.
Empfohlen für:
  • Desktops
  • Laptops

Nicht für Server empfohlen.
  • Erfordert Aurora Protect Desktop-Agent Version 3.2 oder höher.
  • Erfordert Aurora Focus-Agent Version 3.2 oder höher.

DNS-Sichtbarkeit

Der Aurora Focus-Agent zeichnet DNS-Anforderungen, Antworten und zugehörige Datenfelder wie Domänenname, aufgelöste Adressen und Datensatztyp auf.

Signal-Rausch-Verhältnis: Moderat

Potenzielle Auswirkungen auf Datenspeicherung und Leistung: Moderat
Empfohlen für:
  • Desktops
  • Laptops

Nicht empfohlen für DNS-Server.
  • Beachten Sie, dass dieser Sensor erhebliche Datenmengen erfassen kann. Er kann aber auch Einblicke in Daten liefern, die mit anderen Tools nur schwer erfasst werden können.
  • Um eine optimale Datenspeicherung sicherzustellen, empfiehlt Arctic Wolf, Erkennungsausnahmen für vertrauenswürdige Tools zu konfigurieren, die cloudbasierte Dienste intensiv nutzen.

Erweiterte Dateilesesichtbarkeit

Der Aurora Focus-Agent überwacht Dateilesevorgänge innerhalb einer angegebenen Verzeichnisgruppe.

Signal-Rausch-Verhältnis: Moderat

Potenzielle Auswirkungen auf Datenspeicherung und Leistung: Gering
Empfohlen für:
  • Desktops
  • Laptops
  • Server
  • Einige Sicherheitstools von Drittanbietern verwenden möglicherweise die Windows-APIs, von denen dieser Sensor Daten erfasst. In einigen Fällen kann es sein, dass Aurora Focus irrelevante oder vertrauenswürdige Daten aufzeichnet.
  • Um eine optimale Datenspeicherung sicherzustellen und ein besseres Signal-Rausch-Verhältnis zu ermöglichen, empfiehlt Arctic Wolf, Erkennungsausnahmen für vertrauenswürdige Sicherheitstools zu konfigurieren.

Erweiterte Prozess- und Hooking-Sichtbarkeit

Der Aurora Focus-Agent zeichnet Prozessinformationen der Win32-API und von Kernel-Audit-Meldungen auf, um Formen von Prozess-Hooking und -Injektion zu erkennen.

Signal-Rausch-Verhältnis: Moderat

Potenzielle Auswirkungen auf Datenspeicherung und Leistung: Gering
Empfohlen für:
  • Desktops
  • Laptops
  • Server
  • Einige Sicherheitstools von Drittanbietern verwenden möglicherweise die Windows-APIs, von denen dieser Sensor Daten erfasst. In einigen Fällen kann es sein, dass Aurora Focus irrelevante oder vertrauenswürdige Daten aufzeichnet.
  • Um eine optimale Datenspeicherung sicherzustellen und ein besseres Signal-Rausch-Verhältnis zu ermöglichen, empfiehlt Arctic Wolf, Erkennungsausnahmen für vertrauenswürdige Sicherheitstools zu konfigurieren.

HTTP-Sichtbarkeit

Der Aurora Focus-Agent verfolgt Windows HTTP-Transaktionen, einschließlich Event Tracing für Windows, WinINet-APIs und WinHTTP-APIs.

Signal-Rausch-Verhältnis: Hoch

Potenzielle Auswirkungen auf Datenspeicherung und Leistung: Die Aktivierung dieses Sensors kann sich auf die CPU-Leistung auswirken.
Empfohlen für:
  • Desktops
  • Laptops

Nicht für Server empfohlen.
  • Erfordert Aurora Protect Desktop-Agent Version 3.2 oder höher.
  • Erfordert Aurora Focus-Agent Version 3.2 oder höher.

Module-Load-Sichtbarkeit

Der Aurora Focus-Agent überwacht die Module-Loads.

Signal-Rausch-Verhältnis: Hoch

Potenzielle Auswirkungen auf Datenspeicherung und Leistung: Die Aktivierung dieses Sensors kann sich auf die CPU-Leistung auswirken.
Empfohlen für:
  • Desktops
  • Laptops
  • Server
  • Erfordert Aurora Protect Desktop-Agent Version 3.2 oder höher.
  • Erfordert Aurora Focus-Agent Version 3.2 oder höher.

Sichtbarkeit private Netzwerkadresse

Der Aurora Focus-Agent erfasst Netzwerkverbindungen innerhalb der RFC 1918- und RFC 4193-Adressräume.

Signal-Rausch-Verhältnis: Gering

Potenzielle Auswirkungen auf Datenspeicherung und Leistung: Gering

Empfohlen für Desktops.

Nicht empfohlen für:
  • DNS-Server
  • Mit wenigen oder sehr wenigen Ressourcen ausgestattete Systeme
  • Systeme, die RDP oder andere Remote-Zugriff-Software verwenden
  • Dieser Sensor erfasst erhebliche Datenmengen und kann sich auf die Dauer der Datenspeicherung in der Aurora Focus-Datenbank auswirken.
  • Arctic Wolf empfiehlt, diesen Sensor nur in Umgebungen zu aktivieren, in denen vollständige Sichtbarkeit bei der Adresskommunikation im privaten Netzwerk erforderlich ist.

Windows Advanced Audit-Sichtbarkeit

Der Aurora Focus-Agent überwacht zusätzliche Windows-Ereignistypen und -Kategorien.

Signal-Rausch-Verhältnis: Moderat

Potenzielle Auswirkungen auf Datenspeicherung und Leistung: Gering
Empfohlen für:
  • Desktops
  • Laptops
  • Server
Dieser Sensor ermöglicht die Überwachung der folgenden Ereignis-IDs:
  • 4769 Kerberos-Ticket-Anforderung
  • 4662 Vorgang an Active Directory-Objekt
  • 4624 Erfolgreiche Anmeldung
  • 4702 Erstellung geplanter Aufgaben

Windows Event Log-Sichtbarkeit

Der Aurora Focus-Agent zeichnet Windows-Sicherheitsereignisse und die zugehörigen Attribute auf.

Signal-Rausch-Verhältnis: Moderat

Potenzielle Auswirkungen auf Datenspeicherung und Leistung: Moderat
Empfohlen für:
  • Desktops
  • Laptops
  • Server
Nicht empfohlen für:
  • Domänencontroller
  • Microsoft Exchange und E-Mail-Server
  • Die Windows-Ereignisprotokolle, aus denen dieser Sensor Daten erfasst, werden während der normalen Systemnutzung regelmäßig generiert.
  • Um doppelte Daten zu reduzieren und eine optimale Datenspeicherung zu ermöglichen, sollten Sie ermitteln, ob Ihr Unternehmen bereits über Tools verfügt, mit denen Daten aus Windows-Ereignisprotokollen erfasst werden.