Der Artikel beschreibt Security Insights, ein Add-on zu LiveWire, das über LiveNX zugänglich ist und paketbasierte Analysen am Netzwerkrand liefert, um fragmentierte Transparenz zwischen Netzwerk- und Sicherheitsteams zu schließen. Er zeigt, wie die Lösung vorhandene Flow- und Paketdaten lokal nutzt, um Anomalien in Echtzeit zu erkennen, forensische Untersuchungen zu ermöglichen und Ergebnisse in SIEM-, SOAR- und XDR-Stacks zu integrieren, ohne die Kosten und Latenz herkömmlicher NDR-Lösungen. Konkret werden Einsatzszenarien (anormale TLS-Aktivitäten, Threat-Intel-Suche, Missbrauch von TLS-Zertifikaten), Architekturprinzipien und differenzierende Vorteile wie Edge-First-Analytik und vollständige Paketerfassung erläutert.
Wie verbessert Security Insights die Erkennungszeit im Vergleich zu herkömmlichen NDR-Lösungen?
Security Insights verschiebt die Analyse an den Netzwerkrand und nutzt LiveFlow-Paketerfassung von LiveWire plus Flow-Telemetrie aus LiveNX, wodurch Anomalien in Echtzeit erkannt werden. Anstatt große Paketsätze in die Cloud zu übertragen, korreliert die Lösung lokal Flow- und Paketdaten, visualisiert Auffälligkeiten in LiveNX und erlaubt bei Bedarf sofortige forensische Paketerfassung in LiveWire. Dadurch reduziert sich die Erkennungs- und Untersuchungszeit typischerweise von Stunden auf Minuten, senkt Latenz und vermeidet die Kosten und Compliance-Risiken zentralisierter NDR-Analysen.
Welche Datenquellen nutzt Security Insights und wie werden diese für die Analyse kombiniert?
Security Insights aggregiert Flow-Telemetrie (NetFlow, IPFIX, sFlow) sowie Cisco Hochgeschwindigkeits- und Unified-Logging aus LiveNX und Paketdaten aus LiveWire (LiveFlow). LiveWire erfasst vollständige Pakete am Netzwerkrand, identifiziert Muster und rekonstruiert Sitzungen; diese LiveFlow-Datensätze werden an LiveNX gesendet, das durch Aggregation, Anreicherung und Korrelation Netzwerk- und Sicherheitsanomalien in einer zentralen Ansicht darstellt. Die kombinierte Nutzung von Fluss- und Paketdaten ermöglicht präzise Erkennung, Visualisierung und nahtlose Übergabe an forensische Analysen und Security-Operations-Tools.
Welche konkreten Reaktionsschritte ermöglicht Security Insights bei einem entdeckten Angriffsszenario?
Bei Erkennung liefert Security Insights classification und MITRE-Zuordnung, visualisiert betroffene Subnetze in LiveNX und initiiert Paketerfassung in LiveWire für forensische Beweismittel. Die Ergebnisse lassen sich automatisiert an SIEM, SOAR und XDR exportieren, um Blockierungen, Quarantänen oder Zertifikatssperrungen umzusetzen (z. B. Isolierung eines kompromittierten IoT-Gateways, Blockierung verdächtiger Domains oder automatische Sperrung selbstsignierter TLS-Zertifikate). Forensische Paketdaten werden zur Validierung, Sandbox-Analyse und Compliance-Berichterstattung im SIEM aufbewahrt.
Anhang: Sicherheitsbefunde
Dieser Anhang enthält eine Liste der von LiveNX und LiveWire generierten Sicherheitsbefunde. Diese Befunde heben Anomalien, verdächtiges Verhalten und Richtlinienverstöße hervor, die durch Fluss- und Paketanalyse erkannt wurden. Obwohl es sich nicht um einen vollständigen NDR-Katalog handelt, stellen sie wertvolle Erkenntnisse dar, die die Erkennung, Untersuchung und Reaktion beschleunigen. Im Zuge der Weiterentwicklung von LiveNX und LiveWire wird diese Bibliothek mit Befunden kontinuierlich erweitert, sodass Netzwerk- und Sicherheitsteams im Laufe der Zeit von einer umfassenderen Transparenz und besseren Ergebnissen profitieren.
| Security finding | MITRE ATT&CK ID (if applicable) |
|---|---|
| Encryption On IANA Reserved Port | T1571 |
| Kerberos Detected | |
| Kerberos RC4 Detected | |
| Malicious IP or Domain Detected | |
| Microsoft IP Detected | |
| NTLM Protocol Detected | |
| RDP On Non-Standard Port | T1571 |
| Threat Intel Indicator | T1102 |
| TLS Certificate Anomalies Detected | TLS |
| TLS Client Excessive Handshakes | TLS |
| TLS Forbidden Version | T1071.002 |
| TLS Long Lived Connection | TLS |
| TLS Missing SNI | T1587.003 |
| TLS Self-Signed Certificate | T1587.003 |
| TLS Unusual Certificate | T1587.003 |
| Unassigned Encryption | |
| Unauthorized Application Use | T1071.002 |
| Unexpected Encryption | T1571 |
| TLS Unexpected Plaintext | T1571 |
| TLS Weak Cipher Suite | |
| RDP Connection After Brute Force Attempt | T1021 |
| SSH Connection After SSH Brute Force Attempt | T1021 |
| Unauthorized Application Use | |
| RDP Brute Force Attempt Detected | T1110 |
| SSH Brute Force Attempt Detected | T1110 |
| New Encryption Protocol | T1571 |
| Found RDP On Non-Standard Port | T1571 |
| New Encryption User | T1573 |
| New Encryption Service | T1573 |
| New SSH Client Version Found | T1573 |
| New SSH Server Version Found | T1573 |
| New TLS Version Found | T1573 |
| Insecure/weak cipher | T1587.003 |
| New TLS SHA1 Found | T1588 |
| New TLS JA3C Found | T1588.004 |
| New TLS JA3S Found | T1588.004 |
| Lateral Movement Anomaly <application> | |
| Clique Expansion | |
| Interface Volumetric Anomaly | |
| Application Interface Volumetric Anomaly | |
| DSCP Interface Volumetric Anomaly | |
| Application Site Volumetric Anomaly | |
| Site Volumetric Anomaly |



