Visualisierung der Entdeckung sensibler Dateien in Google SecOps mit dem Entscheidungsbaum von Uncoder AI

[post-views]
April 24, 2025 · 4 min zu lesen
Visualisierung der Entdeckung sensibler Dateien in Google SecOps mit dem Entscheidungsbaum von Uncoder AI

In heutigen hybriden Umgebungen können legitime Werkzeuge wie Notepad heimlich genutzt werden, um sensible Daten wie Passwortdateien anzuzeigen oder vorzubereiten—insbesondere von Insidern oder Low-and-Slow-Bedrohungsakteuren. Während Google SecOps (UDM) hochstrukturierte Erkennungen unterstützt, ist die dahinterstehende Logik oft vielschichtig und komplex.

Deshalb hat Uncoder AI Entscheidungsbaum AI-generiert eine wesentliche Ressource geworden—sie hilft Analysten nicht nur zu lesen, sondern die Erkennungslogik schneller zu verstehen und zu handeln.

Erkunden Sie Uncoder AI

Erkennungsfokus: Passwort-Dateizugriff über Notepad

Diese Regel verfolgt, wann:

  • Ein Prozessstart durch explorer.exe
  • Einleitung des Prozesses ist notepad.exe
  • Die Befehlszeile bezieht sich auf Dateinamen, die „password“ mit Erweiterungen wie .txt, .csv, .doc, oder .xls
Eingabe, die wir verwendet haben (klicken, um den Text anzuzeigen)
metadata.event_type = „PROCESS_LAUNCH“ and principal.process.file.full_path = /.*\\explorer\.exe$/ nocase and target.process.file.full_path = /.*\\notepad\.exe$/ nocase and (target.process.command_line = /.*password*\.txt$/ nocase or target.process.command_line = /.*password*\.csv$/ nocase or target.process.command_line = /.*password*\.doc$/ nocase or target.process.command_line = /.*password*\.xls$/ nocase)
Such patterns could signal:

  • Insiderzugriff auf Klartext-Anmeldedaten
  • Unautorisierte Schnüffelei von exportierten Passwortlisten
  • Missbrauch einfacher Betriebssystemwerkzeuge zur Aufklärung oder Datenlecks

Wie der AI-generierte Entscheidungsbaum half

Uncoder AI hat die UDM-Abfrage automatisch in einen strukturierten Logikbaum umgewandelt, der aufzeigt:

  • Ereignistyp-Prüfung – Nur PROCESS_LAUNCH-Ereignisse werden berücksichtigt
  • Elternprozessfilter – Muss sein explorer.exe (der Benutzer öffnet die Datei manuell)
  • Gestarteter Prozessfilter – Muss notepad.exe sein
  • Dateinamensabgleich – Befehlszeile muss Begriffe wie password.txt, password.csv, etc.

Jeder Zweig der Logik wird klar erklärt, mit Regex-Mustern, die als ODER-Bedingungen unter einem einzigen Knoten visualisiert werden. Dies reduziert Reibungsverluste beim Verstehen und Dokumentieren dessen, was erkannt wird—und warum.

KI-Ausgabe (klicken, um den Text anzuzeigen)
Der Bedingungsteil dieser Google SecOps Query lässt sich wie folgt als Entscheidungsbaum darstellen:

Wurzelknoten: metadata.event_type = „PROCESS_LAUNCH“
– Dies ist der erste Filter, der sicherstellt, dass nur Ereignisse berücksichtigt werden, die mit dem Start von Prozessen zu tun haben.

Erster Verzweigungsknoten: principal.process.file.full_path = /.*\explorer.exe$/ nocase
– Von den gestarteten Prozessen filtert diese Bedingung gezielt diejenigen, bei denen der startende Prozess (principal) explorer.exe ist.
– Die Option nocase sorgt dafür, dass die Groß- und Kleinschreibung ignoriert wird.

Zweiter Verzweigungsknoten: target.process.file.full_path = /.*\notepad.exe$/ nocase
– Diese Bedingung schränkt die Ereignisse weiter auf solche ein, bei denen der Zielprozess (der gestartete Prozess) notepad.exe ist.
– Auch hier sorgt nocase für eine Groß-/Kleinschreibungs-unabhängige Übereinstimmung.

Dritter Verzweigungsknoten (komplexe Bedingung):
– (target.process.command_line = /.*password*.txt$/ nocase or target.process.command_line = /.*password*.csv$/ nocase or target.process.command_line = /.*password*.doc$/ nocase or target.process.command_line = /.*password*.xls$/ nocase)
  – Diese Bedingung prüft, ob die Befehlszeile von notepad.exe Verweise auf Dateien enthält, deren Namen den Begriff „password“ und eine der folgenden Dateiendungen enthalten: .txt, .csv, .doc, .xls (unabhängig von Groß-/Kleinschreibung).
  – ODER-Bedingungen:
    – target.process.command_line = /.*password*.txt$/ nocase
    – target.process.command_line = /.*password*.csv$/ nocase
    – target.process.command_line = /.*password*.doc$/ nocase
    – target.process.command_line = /.*password*.xls$/ nocase
  – Der Entscheidungsbaum folgt hier einer logischen ODER-Verknüpfung – das Eintreffen einer einzigen Bedingung reicht aus, um die gesamte Bedingung zu erfüllen.

Logik des Entscheidungsbaums
Beginne mit allen Prozessstart-Ereignissen.

Filtere nur diejenigen, die von explorer.exe gestartet wurden.

Filtere weiter auf Prozesse, bei denen notepad.exe gestartet wurde.

Überprüfe schließlich, ob die Befehlszeile von notepad.exe auf eine Datei verweist, die „password“ im Namen enthält und eine der angegebenen Endungen besitzt (.txt, .csv, .doc, .xls).

Ergebnis
Diese Abfrage identifiziert potenzielle Sicherheitsrisiken, bei denen sensible Dateien (die Passwörter enthalten) durch notepad.exe geöffnet werden, welches von explorer.exe gestartet wurde. Dies kann auf unbefugten Zugriff oder unsachgemäßen Umgang mit Passwortinformationen hinweisen.

Warum das wichtig ist

Sicherheitsteams, die den Missbrauch von Anmeldeinformationen oder potenzielle Insider-Bedrohungen untersuchen, haben oft Schwierigkeiten zu erklären, how wie eine Erkennungsregel tatsächlich funktioniert. Mit Uncoder AI ist das Rätselraten vorbei.

Das Ergebnis?

  • Schnellere Analysten-Einarbeitung
  • Sauberere Erkennungsdokumentation
  • Sichereres Incident-Triage und Eskalation

Ob Sie Bedrohungen jagen oder die Einhaltung der Compliance validieren, zu verstehen, wer password.xls von explorer.exe via Notepad geöffnet hat, kann Ihre Untersuchung beeinflussen.

Von Abfrage zu Klarheit, Nahtlos

Google SecOps bietet leistungsstarke Erkennungsmöglichkeiten—und mit Uncoder AI Entscheidungsbaumwerden diese Möglichkeiten transparent, lehrbar und in jedem SOC einsetzbar.

Erkunden Sie Uncoder AI

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge