Überwachung ungewöhnlicher Dateiaktivitäten

Hinweis: Nach dem 31.12.2025 ist eine Registrierung nicht mehr möglich, nutze die verbleibenden Tage!

    Hallo ,


    war ich zu risikobereit und habe beim Kunden, QNAP TS-473A-8G , die Beta Funktion "Überwachung ungewöhnlicher Dateiaktivitäten" aktiviert. Freitag morgen dachte ich mir das könnte doch hilfreiche sein. Etwas später bekam ich auch die ersten Warnungen vom NAS:

    Code
    App Name: Security Center
Category: Unusual File Activity Monitoring Result
Message: [Security Center] Detected unusual file activities. The number of file changes are over the medium threshold value (6927054) on volume "Data". For more details, open "Security Center" and view the Unusual File Activity Monitoring page.

    Da bekommt man doch etwas Panik - in der Firma wollte hat keiner massenweise Dateien angefasst. Die Dateien wurden auch nicht verschlüsselt.

    Damit nun nichts anbrennt habe ich das NAS runter gefahren.

    Bei einem zweiten NAS habe ich die Funktionalität ebenso aktiviert und bekam auch die Warnmeldungen zugestellt aber nicht mit einer so hohen Zahl an Datei zugriffen.

    Meine Hoffnung ist das es sich hier um einen Bug handelt und die Beta Version noch nicht für LIVE gedacht ist.


    Freue mich auf Eure Kommentare :)

    Hallo,


    ich nutze diese Funktion nicht mehr,

    Das ganze Sicherheitscenter ist mehr oder weniger sinnlos.


    In deinem Fall gibt es einige wichtige Fragen:

    - Sind die NAS offen im Internet :?:

    - Wer und wieviele Nutzer haben Zugriff auf die NAS :?:

    - 2 NAS mit den gleiche Daten und Nutzern :?:

    - Was sind das für Daten im Volumen "Data" :?:

    - War am Donnerstag etwas Besonderes in dieser Firma :?:

    - Mo-Mi waren evtl. weniger Mitarbeiter da :/

    - Lief evtl. ein Backup :/

    - Diese Woche war der Patchday bei Mircrosoft. :/


    Mo-Mi nur ca, 500.000 Änderungen, am Donnerstag die 10-fache Menge, am Freitag die 4-fache Menge.

    Einmal editiert, zuletzt von Becker2020 ()

    Zitat von tobias410

    habe beim Kunden, QNAP TS-473A-8G , die Beta Funktion "Überwachung ungewöhnlicher Dateiaktivitäten" aktiviert. [...]

    Etwas später bekam ich auch die ersten Warnungen vom NAS: [...]

    Da bekommt man doch etwas Panik [...]

    Damit nun nichts anbrennt habe ich das NAS runter gefahren.

    Mal ganz grundsätzlich: Panik zu bekommen ist nie eine sinnvolle Reaktion.

    Schon gar nicht, wenn eine neue Überwachungsfunktion, mit deren Verhalten man noch keinerlei Erfahrung hat, direkt nach der Aktivierung Alarme produziert.

    Erst recht nicht, wenn diese Überwachungsfunktion "ungewöhnliche Aktivitäten" erkennen soll und man noch gar nicht weiß, welche Aktivitäten sie für gewöhnlich hält und ob sich das mit der Realität dieses Systems deckt.

    Und schon gar nicht, wenn diese Überwachungsfunktion als "beta" gekennzeichnet ist.

    Deswegen gleich das System herunterzufahren halte ich für eine krasse Überreaktion.

    Angemessen wäre:

    1. Kurz überlegen, ob man ein aktuelles Backup hat, das physisch vom NAS getrennt ist. Wenn nicht, NAS vom Netz trennen und schnellstmöglich ein Backup erstellen.

    2. Nachschauen, was auf dem NAS tatsächlich abgeht. Dauert die "ungewöhnliche Aktivität" an? Worin besteht sie? Auf welche Dateien greift sie zu? Von wo geht sie aus? Client? Prozess auf dem NAS selbst?

    3. Wenn es ein Client ist, den Client untersuchen und ggf. vom Netz trennen. (Es sei denn, es ist an diesem Punkt schon klar, dass die Aktivität legitim ist.)

    4. Wenn es ein Prozess auf dem NAS selbst ist, diesen beenden. (Es sei denn, es ist an diesem Punkt schon klar, dass die Aktivität legitim ist.)

    Danach kannst du dann in Ruhe weiter schauen, was diese "ungewöhnlichen Dateiaktivitäten" sind, ob sie wirklich "ungewöhnlich" sind und ob "ungewöhnlich" auch "bösartig" bedeutet.

    Zitat von tobias410

    Meine Hoffnung ist das es sich hier um einen Bug handelt und die Beta Version noch nicht für LIVE gedacht ist.

    Ein Bug vielleicht nicht, aber einen Fehlalarm halte ich für relativ wahrscheinlich.

    QNAP wird das meiner Vermutung nach als "works as designed" klassifizieren.

    Bei der Detektion von ungewöhnlichen Aktivitäten liegen false positives in der Natur der Sache.

    Da ist immer der Administrator gefragt, zu bewerten, ob ein Alarm wirklich Handlungsbedarf signalisiert.

    Zitat von tgsbn

    1. Kurz überlegen, ob man ein aktuelles Backup hat, das physisch vom NAS getrennt ist. Wenn nicht, NAS vom Netz trennen und schnellstmöglich ein Backup erstellen.

    Bis auf den Punkt, wenn hier wirklich was läuft ist es für das Backup zu spät, also erst Bewerten und dann handeln.

    Sonst ist das einzige Backup in dem Moment noch mit verschlüsselt!

    Das Backup muss im Vorfeld da sein, in so einem Moment geht es nur noch um Restor und das nur in einer gesicherten, cleanen Umgebung.


    Und Systeme zur Verhaltensanalyse haben immer eine Lernphase, erst daraufhin wird dann auch der aktiv handeln Modus angegangen.


    Beispiel, Admin richtet am Wochenende alles auf einem neue Server neu ein, schaltet dann am Sonntag alles scharf und wird am Montag um 7 Uhr beim betreten der Firma gleich überfallen weil alles still steht.

    Was ist passiert, na er hat am Wochenende mit 1-2 Clients getestet aber als dann gegen 6:30 hunderte Arbeitsplätze ihr Profil laden wollten, dachte der Virenschutz ein Angriff und hat das Teil abgeriegelt.


    Nein ist mir so nicht passiert, aber es ist der Klassiker...

    Zitat von Crazyhorse

    Bis auf den Punkt, wenn hier wirklich was läuft ist es für das Backup zu spät, also erst Bewerten und dann handeln.

    Sehe ich etwas anders.

    Wenn man an diesem Punkt kein Backup hat, ist es besser zu versuchen, noch so viel wie möglich irgendwie in Sicherheit zu bringen.

    Und wenn sich herausstellen sollte, dass es falscher Alarm war (was in der beschriebenen Situation das wahrscheinlichste ist) hat man dann ein Backup für den Fall, dass bei den nachfolgenden Untersuchungs- und Rettungsaktionen Daten beschädigt werden.

    Zitat von Crazyhorse

    Sonst ist das einzige Backup in dem Moment noch mit verschlüsselt!

    Das trifft nur zu, wenn man erstens nur ein einziges Backupmedium hat, auf dem zweitens ein verwendbares, nur eben nicht aktuelles Backup ist, und man drittens so blöd ist, genau dieses Medium dann in dem Moment zur Erstellung des Not-Backups zu benutzen.

    Dass man das nicht machen soll, hätte ich vielleicht dazuschreiben sollen.


    Wenn man überhaupt kein Backup hat, Ist es immer noch besser, ein möglicherweise verschlüsseltes Backup zu erstellen als gar keins. Immerhin besteht da die wenn auch geringe Chance, noch irgendetwas zu retten.


    Wenn man mehr als ein Backupmedium hat und das am längsten nicht mehr benutzte für das Not-Backup nutzt, wird maximal dieses in dem Moment verschlüsselt, das ist dann aber eben nicht das einzige.