Risikoerkennungsregeln
Risikoerkennungsregeln sind Sätze vordefinierter Kriterien und Bedingungen, die zur Identifizierung potenzieller Sicherheitsbedrohungen innerhalb eines Systems oder Netzwerks verwendet werden.
Hydden Risikobewertungs-Architektur
Wie Risikobewertungen funktionieren
Hydden verwendet Risikoregeln, um eine Risikobewertung (0–100) für jedes entdeckte Konto zu generieren. Die Bewertung ist die Summe von 8 Kategoriesummen, die jeweils auf maximal 10 Punkte begrenzt sind. Kategoriesummen werden durch Aggregation der einzelnen Regelbewertungen berechnet, die auf ein bestimmtes Konto zutreffen.
Die 8 Bewertungskategorien sind:
| Kategorie | Max. Punktzahl | Beschreibung |
|---|---|---|
| Kontoaktivität | 10 | Inaktive Konten, fehlgeschlagene Anmeldeversuche |
| Kontostatistiken | 10 | Z-Score-Abweichungen bei Gruppenmitgliedschaften |
| Breach-Daten | 10 | Von öffentlichen Datenschutzverletzungen betroffene Konten |
| Abgelaufene Konten | 10 | Aggregierte Ablaufdaten |
| Gruppenmitgliedschaft | 10 | Übermäßige Gruppenmitgliedschaften |
| Eigentümer-Zuordnung | 10 | Nicht zugeordnete, gemeinsam genutzte oder verwaiste Konten |
| Passwort & Sicherheit | 10 | MFA-Status, Passwortalter, Passworthygiene |
| Berechtigung | 10 | Privilegierte Gruppen, Rollen, nicht gesicherter Zugriff |
| Gesamtrisiko | 100 | Summe aller Kategoriesummen |
Risikobewertungsbereiche
Hydden klassifiziert Risikobewertungen in drei Schweregrade:
| Bereich | Schweregrad | Beschreibung |
|---|---|---|
| 0–24,99 | Niedrig | Minimale Risikoindikatoren |
| 25–74,99 | Mittel | Eine oder mehrere Kategorien tragen zu einem erhöhten Risiko bei |
| 75–100 | Kritisch | Mehrere Hochrisiko-Kategorien; sofortige Aufmerksamkeit empfohlen |
Nur-Erkennung vs. bewertete Regeln
Nur-Erkennung-Regeln
Einige Risikoregeln sind als Nur-Erkennung konfiguriert. Diese Regeln identifizieren und kennzeichnen übereinstimmende Konten in Berichten, tragen aber nicht zur Risikobewertung des Kontos bei. Nur-Erkennung-Regeln sind nützlich zur Überwachung von Trends (z.B. Passwortalter 180+ Tage), ohne Bewertungen aufzublähen.
Bewertete Regeln tragen ihren konfigurierten Bewertungswert zur relevanten Kategoriesumme bei, wenn sie auf ein Konto zutreffen. Beide Regeltypen erscheinen in Suchbibliothek-Berichten, wenn In Berichten anzeigen aktiviert ist.
Aggregationsmethoden
Die Aggregationsregel Gesamtrisiko kombiniert die 8 Kategoriesummen zu einer einzelnen Bewertung auf Kontoebene. Die Aggregationsmethode kann auf eine von drei Optionen konfiguriert werden:
| Methode | Beschreibung |
|---|---|
| Durchschnitt der Summen (Standard) | Berechnet den Durchschnitt der 8 Kategoriesummen zur Ermittlung der Endbewertung |
| Maximum | Verwendet die höchste einzelne Kategoriesumme als Endbewertung |
| Gewichteter Durchschnitt | Wendet konfigurierbare Gewichtungen auf jede Kategorie vor der Durchschnittsberechnung an |
NOTE
Kontaktieren Sie den Hydden Support, um die Aggregationsmethode für Ihren Mandanten zu ändern.
Aggregationsregeln kombinieren dann Risikobewertungen auf Kontoebene, um Risikobewertungen auf Eigentümer- und Mandantenebene zu erstellen.
Tipps zur Verbesserung Ihrer Bewertung
Verwenden Sie die Suchbibliothek, um Berichte mit Filtern auszuführen und Kategorien und/oder einzelne Regeln zu identifizieren, die sich negativ auf jedes Konto auswirken.
Priorisieren Sie zuerst die Regeln und Kategorien mit den höchsten Werten, um die größte Wirkung auf die Reduzierung der Risikobewertungen zu erzielen. Beginnen Sie bei Eigentümern mit hohen Risikobewertungen. Dann vertiefen Sie sich in die Konten und anschließend in die Kategorien, um die wirkungsvollsten Regeln zu finden.
Unterstützte Compliance-Frameworks
Risikoregeln können Compliance-Framework-Kontrollen zugeordnet werden. Die folgenden Frameworks werden unterstützt:
| Framework | Beschreibung |
|---|---|
| NIST CSF V2.0 | NIST Cybersecurity Framework Version 2.0 |
| CIS | Center for Internet Security Controls |
| CRITIER4V2 | CRITIER Framework Version 2 |
Jede Regel kann auf ein bestimmtes Framework und eine Kontrollfunktion verweisen (z.B. NIST CSF V2.0 / PR.AA-05).
Referenz der Regeleigenschaften
Jede Risikoerkennungsregel unterstützt die folgenden Konfigurationseigenschaften:
| Eigenschaft | Beschreibung |
|---|---|
| Name | Beschreibender Name für die Regel |
| Bewertung | Auswirkungswert (0–10), der zur Kategoriesumme beigetragen wird |
| Propagationstyp | Wie Bewertungen aggregiert werden: max (höchste Übereinstimmung gewinnt) oder sum (alle Übereinstimmungen addiert) |
| In Berichten anzeigen | Ob die Regel in Suchbibliothek-Berichten erscheint |
| In Auswirkung anzeigen | Ob die Regel zur Identity Posture-Risikobewertung beiträgt |
| Deaktiviert | Ob die Regel inaktiv ist (vorhanden, aber nicht ausgewertet) |
| Nur Erkennung | Ob die Regel Konten kennzeichnet, ohne zur Bewertung beizutragen |
| Ist Alarm | Ob die Regel eine Alarmbenachrichtigung auslöst |
| Ist wiederholbar | Ob die Regel mehrfach für dasselbe Konto ausgelöst werden kann |
| Workflow-Auslösung erlauben | Ob die Regel automatisierte Workflows auslösen kann |
| Plattform-Filter | Beschränkt die Regel auf bestimmte Plattformen |
| Datenquellen-Filter | Beschränkt die Regel auf bestimmte Datenquellen |
| Framework | Compliance-Framework-Referenz (z.B. NIST CSF V2.0) |
| Funktion | Spezifische Framework-Kontrollfunktion (z.B. PR.AA-03) |
| Empfehlung | Vorgeschlagene Behebungsmaßnahme für übereinstimmende Konten |