DET.4.6.1 — Verhaltensanalyse von Zugangskonten

KANN Security level: erhöht Effort 5 BSI-Stand-der-Technik-Kernel

Sub-control of DET.4.6

Statement (Anforderung)

Detektion für Verzeichnisdienste KANN das Verhalten von Zugangskonten überwachen.

Guidance (Erläuterung)

User and Entity Behaviour Analytics (UEBA) nutzt moderne Verfahren einschließlich KI, um Anomalien im Verhalten von Zugangskonten oder Systemen zu erkennen, z.B. Anmeldungen zu ungewöhnlichen Zeiten, von ungewöhnlichen Orten, durch Verwendung veralteter Authentifzierungsverfahren wie NTLMv1 oder die Ausführung ungewöhnlicher Anwendungen. Ungewöhnliches Verhalten kann Anzeichen für netzbasierte Angriffe oder Innentäter sein. Allerdings gilt es hierbei auch rechtliche Vorgaben zum Datenschutz und betriebliche Mitbestimmungsrechte zu beachten. Ein sinnvoller Maßstab für die Ausgestaltung von Umfang und Detailltiefe der Überwachung können die Geschäfts- und Sicherheitsziele sein. Sinnvoll ist es hierbei begleitende Maßnahmen zur Compliance einzuführen, beispielsweise das manuelle Analysen nur unter bestimmten Voraussetzungen oder Beteiligungen vorgenommen werden.

Tags: Advanced Persistent Threats (APT) Command & Control Data Exfiltration Insider Threat Living off the land
Statement properties
NameValue
target_object_categories Verzeichnisdienste
documentation Detektions-Konzept
result das Verhalten von Zugangskonten
action_word überwachen
modal_verb KANN
Control properties
NameValue
alt-identifier cd3e1fde-3095-4518-b906-ca18824839b8
sec_level erhöht
effort_level 5
tags Advanced Persistent Threats (APT), Command & Control, Data Exfiltration, Insider Threat, Living off the land
Raw OSCAL JSON (complete control) 
{
  "class": "BSI-Stand-der-Technik-Kernel",
  "id": "DET.4.6.1",
  "parts": [
    {
      "id": "DET.4.6.1_stm",
      "name": "statement",
      "props": [
        {
          "name": "target_object_categories",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv",
          "value": "Verzeichnisdienste"
        },
        {
          "name": "documentation",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
          "value": "Detektions-Konzept"
        },
        {
          "name": "result",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
          "value": "das Verhalten von Zugangskonten"
        },
        {
          "name": "action_word",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
          "value": "überwachen"
        },
        {
          "name": "modal_verb",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
          "value": "KANN"
        }
      ],
      "prose": "Detektion für Verzeichnisdienste KANN das Verhalten von Zugangskonten überwachen."
    },
    {
      "id": "DET.4.6.1_gdn",
      "name": "guidance",
      "prose": "User and Entity Behaviour Analytics (UEBA) nutzt moderne Verfahren einschließlich KI, um Anomalien im Verhalten von Zugangskonten oder Systemen zu erkennen, z.B. Anmeldungen zu ungewöhnlichen Zeiten, von ungewöhnlichen Orten, durch Verwendung veralteter Authentifzierungsverfahren wie NTLMv1 oder die Ausführung ungewöhnlicher Anwendungen. Ungewöhnliches Verhalten kann Anzeichen für netzbasierte Angriffe oder Innentäter sein. Allerdings gilt es hierbei auch rechtliche Vorgaben zum Datenschutz und betriebliche Mitbestimmungsrechte zu beachten. Ein sinnvoller Maßstab für die Ausgestaltung von Umfang und Detailltiefe der Überwachung können die Geschäfts- und Sicherheitsziele sein. Sinnvoll ist es hierbei begleitende Maßnahmen zur Compliance einzuführen, beispielsweise das manuelle Analysen nur unter bestimmten Voraussetzungen oder Beteiligungen vorgenommen werden."
    }
  ],
  "props": [
    {
      "name": "alt-identifier",
      "value": "cd3e1fde-3095-4518-b906-ca18824839b8"
    },
    {
      "name": "sec_level",
      "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
      "value": "erhöht"
    },
    {
      "name": "effort_level",
      "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
      "value": "5"
    },
    {
      "name": "tags",
      "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv",
      "value": "Advanced Persistent Threats (APT), Command & Control, Data Exfiltration, Insider Threat, Living off the land"
    }
  ],
  "title": "Verhaltensanalyse von Zugangskonten"
}
View JSON API Download JSON