Datenstrukturen, die von Aurora Focus zur Identifizierung von Bedrohungen verwendet werden

Ereignisse, Artefakte und Facetten sind die drei primären Datenstrukturen, die von Aurora Focus zur Analyse, Aufzeichnung und Untersuchung von Aktivitäten auf Geräten verwendet werden. Die Funktionen von Aurora Focus basieren auf diesen Datenstrukturen. Dies schließt InstaQuery, Fokusdaten und die Kontextanalyse-Engine (Context Analysis Engine, CAE) ein.

Dieser Abschnitt enthält weitere Informationen darüber, wie Aurora Focus Aktivitäten auf Geräten interpretiert und mit diesen interagiert, damit Sie Erkennungen, Abfragen und Fokusdaten besser verstehen und nutzen können.

Datenquellen nach Betriebssystem

Der Aurora Focus-Agent verwendet die folgenden Datenquellen:

OS

Datenquellen

Windows
  • Kernel-Treiber CyOpticsDrv
  • Ereignisverfolgung
  • Sicherheitsüberwachungsprotokoll

macOS

Kernel-Treiber CyOpticsDrvOSX

Linux

ZeroMQ

Informationen zu den Arten des Netzwerkverkehrs, die in Aurora Focus standardmäßig ausgeschlossen sind, finden Sie unter KB 42221282487835.

Ereignisse

Ereignisse sind die Komponenten, die zu einer beobachtbaren Änderung oder Aktion auf einem Gerät führen. Ereignisse bestehen aus zwei primären Artefakten: dem auslösenden Artefakt, das eine Aktion auslöst, und dem Zielartefakt, auf das eingewirkt wird.

Die folgenden Tabellen enthalten Details zu den Ereignistypen, die Aurora Focus erkennen und mit denen es interagieren kann.

Ereignis: Beliebige

  • Geräterichtlinien-Option zum Aktivieren: Aurora Focus-Kontrollkästchen
  • Artefakttyp: Prozess, Benutzer
  • Plattform: Windows, macOS, Linux

Ereignistyp

Beschreibung

Beliebige

Alle Ereignisse zeichnen den Prozess auf, über den sie generiert wurden, sowie den Benutzer, der mit der Aktion verknüpft ist.

Ereignis: Anwendung

  • Geräterichtlinien-Option zum Aktivieren: Erweiterte WMI-Sichtbarkeit
  • Artefakttyp: WMI-Trace
  • Plattform: Windows

Ereignistyp

Beschreibung

Filter-Consumer-Bindung erstellen

Ein Prozess hat WMI-Persistenz verwendet.

Temporären Consumer erstellen

Ein Prozess hat WMI-Ereignisse abonniert.

Vorgang ausführen

Ein Prozess hat einen WMI-Vorgang ausgeführt.
  • Geräterichtlinien-Option zum Aktivieren: Erweiterte Prozess- und Hooking-Sichtbarkeit
  • Artefakttyp: Datei
  • Plattform: Windows

Ereignistyp

Beschreibung

CBT

Die SetWindowsHookEx-API hat einen Hook installiert, um Benachrichtigungen zu erhalten, die für eine CBT-Anwendung nützlich sind.

DebugProc

Die SetWindowsHookEx-API hat einen Hook installiert, um andere Hook-Prozeduren zu debuggen.

Status asynchroner Schlüssel abrufen

Ein Prozess hat die Win32-GetAsyncKeyState-API aufgerufen.

JournalPlayback

Die SetWindowsHookEx-API hat einen Hook installiert, um Nachrichten zu überwachen, die zuvor über die Hook-Prozedur WH_JOURNALRECORD aufgezeichnet wurden.

JournalRecord

Die SetWindowsHookEx-API hat einen Hook zur Überwachung von Eingabemeldungen installiert, die in die Systemnachrichten-Warteschlange gestellt wurden.

Tastatur

Die SetWindowsHookEx-API hat einen Hook zur Überwachung von Tastaturanschlagmeldungen installiert.

LowLevel-Tastatur

Die SetWindowsHookEx-API hat einen Hook zur Überwachung von Low-Level-Tastatureingabe-Ereignissen installiert.

LowLevel-Maus

Die SetWindowsHookEx-API hat einen Hook zur Überwachung von Low-Level-Mauseingabe-Ereignissen installiert.

Nachricht

Die SetWindowsHookEx-API hat einen Hook zur Überwachung von Meldungen installiert, die in eine Nachrichtenwarteschlange gestellt wurden.

Maus

Die SetWindowsHookEx-API hat einen Hook zur Überwachung von Mausmeldungen installiert.

Raw-Eingabegeräte registrieren

Ein Prozess hat die Win32-RegisterRawInputDevices-API aufgerufen.

Windows-Ereignis-Hook festlegen

Ein Prozess hat die Win32-SetWinEventHook-API aufgerufen.

Windows-Hook festlegen

Die SetWindowsHookEx-API hat einen nicht aufgeführten Hooktyp-Wert installiert.

ShellProc

Die SetWindowsHookEx-API hat einen Hook installiert, um Benachrichtigungen zu erhalten, die für Shell-Anwendungen nützlich sind.

SysMsg

Die SetWindowsHookEx-API hat einen Hook zur Überwachung von Meldungen installiert, die als Ergebnis eines Eingabeereignisses in einem Dialogfeld, einem Meldungsfeld oder einer Bildlaufleiste generiert werden.

WindowProc

Die SetWindowsHookEx-API hat einen Hook zur Überwachung von Windows-Prozedurmeldungen installiert.
  • Geräterichtlinien-Option zum Aktivieren: API-Sensor
  • Artefakttyp: API-Aufruf
  • Plattform: Windows

Ereignistyp

Beschreibung

Funktion

Es wurde ein auffälliger Funktionsaufruf erkannt.
  • Geräterichtlinien-Option zum Aktivieren: Module-Load-Sichtbarkeit
  • Artefakttyp: Datei
  • Plattform: Windows

Ereignistyp

Beschreibung

Laden

Eine Anwendung hat ein Modul geladen.
  • Geräterichtlinien-Option zum Aktivieren: COM-Objekt-Sichtbarkeit
  • Plattform: Windows

Ereignistyp

Beschreibung

Erstellt

Ein COM-Objekt wurde erstellt.

Ereignis: Gerät

  • Geräterichtlinien-Option zum Aktivieren: Aurora Focus-Kontrollkästchen
  • Artefakttyp: Datei
  • Plattform: macOS, Linux

Ereignistyp

Beschreibung

Mounten

Das Gerät ist mit einer Maschine verbunden oder Ordner werden auf bestimmte Netzwerkspeicherorte gemountet.

Ereignis: Datei

  • Geräterichtlinien-Option zum Aktivieren: Aurora Focus-Kontrollkästchen
  • Artefakttyp: Datei
  • Plattform: Windows, macOS, Linux

Ereignistyp

Beschreibung

Erstellen

Es wurde eine Datei erstellt.

Löschen

Eine Datei wurde gelöscht.

Überschreiben

Eine Datei wurde überschrieben.

Umbenennen

Eine Datei wurde umbenannt.

Schreiben

Eine Datei wurde geändert.
  • Geräterichtlinien-Option zum Aktivieren: Erweiterte Dateilesesichtbarkeit
  • Artefakttyp: Datei
  • Plattform: Windows

Ereignistyp

Beschreibung

Offen

Eine Datei wurde geöffnet.

Ereignis: Speicher

  • Geräterichtlinien-Option zum Aktivieren: Aurora Focus-Kontrollkästchen
  • Artefakttyp: Prozess
  • Plattform: macOS, Linux

Ereignistyp

Beschreibung

Mmap

Ein Arbeitsspeicherbereich wurde einem bestimmten Zweck zugeordnet, der in der Regel einem Prozess zugeordnet ist.

MProtect

Die Metadaten wurden für einen Arbeitsspeicherbereich geändert, in der Regel um den Status zu ändern (z. B. um sie ausführbar zu machen).

Ereignis: Netzwerk

  • Geräterichtlinien-Option zum Aktivieren: Aurora Focus-Kontrollkästchen
  • Artefakttyp: Netzwerk
  • Plattform: Windows, macOS, Linux

Ereignistyp

Beschreibung

Verbinden

Es wurde eine Netzwerkverbindung geöffnet. Standardmäßig wird lokaler Datenverkehr nicht erfasst.
  • Geräterichtlinien-Option zum Aktivieren: Sichtbarkeit private Netzwerkadresse
  • Artefakttyp: Netzwerk
  • Plattform: Windows

Ereignistyp

Beschreibung

Verbinden

Verbindungsereignisse schließen lokalen Datenverkehr ein.
  • Geräterichtlinien-Option zum Aktivieren: DNS-Sichtbarkeit
  • Artefakttyp: DNS-Anfrage
  • Plattform: Windows, Linux

Ereignistyp

Beschreibung

Anforderung

Ein Prozess hat eine Netzwerk-DNS-Anforderung erstellt, die nicht zwischengespeichert wurde.

Antwort

Ein Prozess hat eine DNS-Antwort empfangen.
  • Geräterichtlinien-Option zum Aktivieren: HTTP-Sichtbarkeit
  • Artefakttyp: HTTP
  • Plattform: Windows

Ereignistyp

Beschreibung

Get

Windows hat WinINet oder WinHTTP verwendet, um eine HTTP-Anforderung zu stellen.

Post

Windows hat WinINet oder WinHTTP zum Senden von Daten verwendet.

Ereignis: Prozess

  • Geräterichtlinien-Option zum Aktivieren: Aurora Focus-Kontrollkästchen
  • Artefakttyp: Prozess

Ereignistyp

Plattform

Beschreibung

Anormales Beenden

macOS

Linux

Ein vom Vorauswahlsensor überwachter Prozess wurde ohne Abschluss beendet (eine Ausnahme hat z. B. dazu geführt, dass ein Prozess beendet wurde).

Schließen

Windows

macOS

Linux

Ein Prozess wurde beendet.

Erzwungenes Beenden

macOS

Linux

Ein vom Vorauswahlsensor überwachter Prozess wurde durch einen anderen Prozess zur Beendigung gezwungen.

PTrace

macOS

Linux

Dies ist ein Unix-Systemtool, mit dem ein Prozess einen anderen Prozess überwachen und steuern kann.

Start

Windows

macOS

Linux

Ein Prozess wurde gestartet.

Aussetzen

Linux

Ein vom Vorauswahlsensor überwachter Prozess wurde ausgesetzt.

Unbekanntes Linux-Prozessereignis

macOS

Linux

Ein vom Vorauswahlsensor überwachtes unbekanntes Ereignis ist aufgetreten, das auf den Prozess abzielt. Dies kann ein Zeichen dafür sein, dass schädliche Software ihre Aktivität verdeckt.
  • Geräterichtlinien-Option zum Aktivieren: Erweiterte Prozess- und Hooking-Sichtbarkeit
  • Artefakttyp: Prozess
  • Plattform: Windows

Ereignistyp

Beschreibung

SetThreadContext

Ein Prozess hat die SetThreadContext-API aufgerufen.

Beenden

Ein auslösender Prozess hat einen anderen Zielprozess beendet.

Ereignis: Registrierung

  • Geräterichtlinien-Option zum Aktivieren: Aurora Focus-Kontrollkästchen
  • Artefakttyp: Registrierung, Datei (wenn der Registrierungsschlüssel auf eine bestimmte Datei verweist)
  • Plattform: Windows

Ereignistyp

Beschreibung

KeyCreated

Ein Registrierungsschlüssel wurde erstellt.

KeyDeleting

Ein Registrierungsschlüssel wurde gelöscht.

ValueChanging

Der Wert eines Registrierungsschlüssels wurde geändert.

ValueDeleting

Ein Registrierungsschlüsselwert wurde gelöscht.

Ereignis: Scripting

  • Geräterichtlinien-Option zum Aktivieren: Erweiterte Scripting-Sichtbarkeit
  • Artefakttyp: Powershell-Trace
  • Plattform: Windows

Ereignistyp

Beschreibung

Befehl ausführen

Windows PowerShell hat einen Befehl ausgeführt. Die Parameter sind unbekannt.

Skript ausführen

Windows PowerShell hat ein Skript ausgeführt.

SkriptBlock ausführen

Windows PowerShell hat einen Skriptblock ausgeführt.

Befehl aufrufen

Windows PowerShell hat einen Befehl mit gebundenen Parametern aufgerufen.

Skript verhindern

Ein AMSI-ScanBuffer-Ergebnis zeigt an, dass ein Skript von einem Administrator erkannt oder blockiert wurde.

Ereignis: Benutzer

  • Geräterichtlinien-Option zum Aktivieren: Erweiterte Scripting-Sichtbarkeit
  • Artefakttyp: Windows Ereignis
  • Plattform: Windows

Ereignistyp

Beschreibung

Batch-Abmeldung

Folgende Windows-Ereignis-ID ist aufgetreten: 4634 (Typ 4).

Batch-Anmeldung

Folgende Windows-Ereignis-ID ist aufgetreten: 4624 (Typ 4).

CachedInteractive-Abmeldung

Folgende Windows-Ereignis-ID ist aufgetreten: 4634 (Typ 11).

CachedInteractive-Anmeldung

Folgende Windows-Ereignis-ID ist aufgetreten: 4624 (Typ 11).

Interaktive Abmeldung

Folgende Windows-Ereignis-ID ist aufgetreten: 4634 (Typ 2).

Interaktive Anmeldung

Folgende Windows-Ereignis-ID ist aufgetreten: 4624 (Typ 2).

Netzwerkabmeldung

Folgende Windows-Ereignis-ID ist aufgetreten: 4634 (Typ 3).

Netzwerkanmeldung

Folgende Windows-Ereignis-ID ist aufgetreten: 4624 (Typ 3).

NetworkClearText-Abmeldung

Folgende Windows-Ereignis-ID ist aufgetreten: 4634 (Typ 8).

NetworkClearText-Anmeldung

Folgende Windows-Ereignis-ID ist aufgetreten: 4624 (Typ 8).

NewCredentials-Abmeldung

Folgende Windows-Ereignis-ID ist aufgetreten: 4634 (Typ 9).

NewCredentials-Anmeldung

Folgende Windows-Ereignis-ID ist aufgetreten: 4624 (Typ 9).

RemoteInteractive-Abmeldung

Folgende Windows-Ereignis-ID ist aufgetreten: 4634 (Typ 10).

RemoteInteractive-Anmeldung

Folgende Windows-Ereignis-ID ist aufgetreten: 4624 (Typ 10).

Dienstabmeldung

Folgende Windows-Ereignis-ID ist aufgetreten: 4634 (Typ 5).

Dienstanmeldung

Folgende Windows-Ereignis-ID ist aufgetreten: 4624 (Typ 5).

Entsperr-Abmelden

Folgende Windows-Ereignis-ID ist aufgetreten: 4634 (Typ 7).

Entsperr-Anmeldung

Folgende Windows-Ereignis-ID ist aufgetreten: 4624 (Typ 7).

Benutzerabmeldung

Folgende Windows-Ereignis-ID ist aufgetreten: 4634 (nicht notierter Typwert).

Benutzeranmeldung

Folgende Windows-Ereignis-ID ist aufgetreten: 4624 (nicht notierter Typwert).

Artefakte und Facetten

Artefakte sind komplexe Informationen, die von Aurora Focus verwendet werden können. Die Kontextanalyse-Engine (Context Analysis Engine, CAE) kann Artefakte auf Geräten identifizieren und diese verwenden, um automatische Vorfallreaktionen und Behebungsaktionen auszulösen. InstaQueries verwenden Artefakte als Grundlage einer Abfrage.

Facetten sind die Attribute eines Artefakts, mit denen die Merkmale eines Artefakts identifiziert werden können, das mit einem Ereignis verknüpft ist. Facetten werden während der Analyse korreliert und kombiniert, um potenziell schädliche Aktivitäten zu identifizieren. Eine Datei mit dem Namen „Explorer.exe“ ist beispielsweise nicht von Natur aus verdächtig. Wenn die Datei jedoch nicht von Microsoft signiert ist und sich in einem temporären Verzeichnis befindet, kann sie in einigen Umgebungen als verdächtig identifiziert werden.

Aurora Focus verwendet die folgenden Artefakte und Facetten:

Artefakt

Facetten

API-Aufruf
  • Funktion
  • DLL
  • Parameter

DNS
  • Verbindung
  • IsRecursionDesired
  • IsUnsolicitedResponse
  • Opcode
  • RequestId
  • Auflösung
  • ResponseOriginatedFromThisDevice
  • Fragen

Ereignis
  • Zeitpunkt des Auftretens
  • Zeitpunkt der Registrierung

Datei
  • Ausführbarer Datensatz (nur Binärdateien)
  • Dateierstellungszeitpunkt (vom Betriebssystem gemeldet)
  • Dateipfad
  • Dateisignatur (nur Binärdateien)
  • Dateigröße
  • Letzter Änderungszeitpunkt (vom Betriebssystem gemeldet)
  • MD5-Hash (nur Binärdateien)
  • Letzter Schreibort
  • SHA256-Hash (nur Binärdateien)
  • Vermuteter Dateityp
  • Benutzer

Netzwerk
  • Lokale Adresse
  • Lokaler Port
  • Protokoll
  • Remote-Adresse
  • Remote-Port

PowerShell-Trace
  • EventId
  • Payload
  • PayloadAnalysis
  • ScriptBlockText
  • ScriptBlockTextAnalysis

Prozess
  • Befehlszeile
  • Datei, aus der die ausführbare Datei ausgeführt wurde
  • Übergeordneter Prozess
  • Prozess-ID
  • Anfangszeit
  • Benutzer

Registrierung
  • Wenn der Wert auf eine Datei im System verweist
  • Registrierungspfad
  • Wert

Benutzer
  • Domäne
  • Betriebssystemspezifische Kennung (z. B. SID)
  • Benutzername
Benutzerartefakte können einen der folgenden Werte enthalten. Die Daten sind jedoch auf den meisten Geräten nicht verfügbar:
  • AccountType
  • BadPasswordCount
  • Kommentar
  • CountryCode
  • FullName
  • HasPasswordExpired
  • HomeDirectory
  • IsAccountDisabled
  • IsLocalAccount
  • IsLockedOut
  • IsPasswordRequired
  • LanguageCodePage
  • LogonServer
  • PasswordAge
  • PasswordDoesNotExpire
  • ProfilePath
  • ScriptPath
  • UserPrivilege
  • Workstations

Windows Ereignis
  • Klasse
  • Ereignis-ID
  • ObjectServer
  • PrivilegeList
  • Prozess-ID
  • Prozessname
  • Anbietername
  • Dienst
  • SubjectDomainName
  • SubjectLogonId
  • SubjectUserName
  • SubjectUserSid

WMI-Trace
  • ConsumerText
  • ConsumerTextAnalysis
  • EventId
  • Namespace
  • Vorgang
  • OperationAnalysis
  • OriginatingMachineName

Registrierungsschlüssel und -werte

Aurora Focus überwacht die allgemeinen Schlüssel und Werte für Persistenz, Prozessstart und Berechtigungseskalation sowie die in KB 42221237570843 angegebenen Werte.

Weitere Informationen darüber, wie Aurora Focus Persistenzpunkte in der Registrierung überwacht, finden Sie unter KB 42221282185883.