{"id":52690,"date":"2025-08-05T08:57:07","date_gmt":"2025-08-05T16:57:07","guid":{"rendered":"https:\/\/www.sumologic.com\/blog\/erleben-sie-die-entitaetszentrierte-threat-detection-in-aktion-auf-der-black-hat-2025"},"modified":"2026-02-25T04:25:52","modified_gmt":"2026-02-25T12:25:52","slug":"entity-centric-detection-black-hat-2025","status":"publish","type":"blog","link":"https:\/\/www.sumologic.com\/de\/blog\/entity-centric-detection-black-hat-2025","title":{"rendered":"Erleben Sie entit\u00e4tszentrierte Threat Detection in Aktion auf der Black Hat 2025"},"content":{"rendered":"\n
\n
\n
\n
\n
\"SecOps\"<\/figure>\n\n\n\n

<\/p>\n\n\n\n

Security Operations versinken im Rauschen. F\u00fcr Black-Hat-Besucher ist das ein alter Hut. Was Sie jedoch \u00fcberraschen wird: Vieles von diesem \u201aNoise\u2018 stammt von genau den Systemen, die f\u00fcr Ruhe sorgen sollten. Den Erkennungen mangelt es an Kontext, Alarme stapeln sich ohne tiefere Logik. Das Ergebnis? Ihre Automatisierung stagniert, weil schlicht das Vertrauen in die Signale fehlt. <\/p>\n\n\n\n

Trotz alledem bleibt das Ziel dasselbe: Sicherheitsteams zu helfen, sich auf das Wesentliche zu konzentrieren, und zwar schnell.<\/p>\n\n\n\n

Die Branche hat echte Anstrengungen unternommen, um dieses Ziel zu erreichen. Wir haben mehr Protokolle, bessere Regeln, mehrschichtige Anreicherung und maschinelles Lernen<\/a> eingef\u00fchrt. Wir haben LLMs trainiert, Alerts zusammenzufassen. Wir haben Detection-as-Code eingef\u00fchrt, um die Erkennungslogik zuverl\u00e4ssiger zu verwalten. Aber irgendwie kehren wir immer wieder zu demselben Problem zur\u00fcck: Ist dieser Alert echt? Ist er von Bedeutung? Was soll ich als n\u00e4chstes tun?<\/p>\n\n\n\n

Die Erkennungslogik der meisten modernen Sicherheitstools basiert immer noch auf Ereignissen und nicht auf Entit\u00e4ten \u2013 <\/em>auf dem Zeitpunkt des Geschehenen und nicht auf dem Angreifer. In schnelllebigen Cloud-First-Umgebungen, in denen sich die Identit\u00e4ten st\u00e4ndig \u00e4ndern, ist dieser Ansatz nicht mehr zeitgem\u00e4\u00df.\u00a0<\/p>\n\n\n\n

Deshalb werden wir auf der Black Hat 2025 an Stand Nr. 5812 zeigen, wie wichtig eine entit\u00e4tszentrierte Erkennung ist.\u00a0<\/p>\n\n\n\n

Warum die herk\u00f6mmliche Threat Detection ein neues Fundament braucht<\/h2>\n\n\n\n

Die herk\u00f6mmliche Erkennungslogik wurde f\u00fcr eine andere Zeit entwickelt, als die Infrastrukturen statisch waren, die Benutzer von bekannten Standorten aus arbeiteten und die meisten Bedrohungen erkennbaren Signaturen folgten. In dieser Welt funktionierte die Ereigniskorrelation. Man musste nur gen\u00fcgend Protokollzeilen in einem engen Zeitfenster abgleichen, und schon konnte man in der Regel herausfinden, was passiert war.<\/p>\n\n\n\n

Doch heutzutage sind Infrastrukturen kurzlebig, Zugriffsmuster sind unvorhersehbar und Angreifer imitieren zunehmend legitimes Verhalten. Was in dem einen Kontext verd\u00e4chtig ist, kann in einem anderen v\u00f6llig harmlos sein.<\/p>\n\n\n\n

Ereigniszentrierte Modelle k\u00f6nnen diese Nuance nicht erkennen. Sie k\u00f6nnen sich nicht daran erinnern, was vorher war. Sie k\u00f6nnen nicht auf die Absicht schlie\u00dfen.<\/p>\n\n\n\n

Und so bleibt den Analysten nichts anderes \u00fcbrig, als zwischen verschiedenen Tools hin- und herzuwechseln, Signale manuell zu korrelieren und zu versuchen, aus einer Spur zusammenhangloser Protokolle eine zusammenh\u00e4ngende Geschichte zu rekonstruieren.<\/p>\n\n\n\n

Der aktuelle Stand der Sicherheit verlangt nach einer besseren Grundlage.<\/p>\n\n\n\n

Entit\u00e4tszentrierte Erkennung: ein intelligenteres Modell<\/strong><\/h2>\n\n\n\n

Entit\u00e4tszentrierte Erkennung basiert auf einem einfachen Prinzip: Das Risiko steckt im Akteur. Das umfasst Benutzer, Hosts, Service-Konten, Cloud-Workloads und alle anderen Einheiten, die Verhalten ausl\u00f6sen oder \u00fcber Zugriffsrechte verf\u00fcgen.<\/p>\n\n\n\n

Anstatt bei isolierten Ereignissen Alarm zu schlagen, erstellt und pflegt das Erkennungssystem ein Profil f\u00fcr jede Entit\u00e4t, um normale sowie riskante Muster zu erkennen und festzustellen, ob sich etwas ge\u00e4ndert hat. Weicht etwas von dieser Baseline ab, schl\u00e4gt das System Alarm und verkn\u00fcpft die einzelnen Punkte, um den Vorfall schl\u00fcssig zu erkl\u00e4ren.<\/p>\n\n\n\n

Stellen Sie sich Folgendes vor: Ein Entwickler f\u00fchrt zum ersten Mal den Befehl system info auf einem Host aus. Wenige Minuten sp\u00e4ter greift er auf einen S3-Bucket zu, den er zuvor noch nie anger\u00fchrt hat. Kurz darauf initiiert der Host eine ausgehende Verbindung zu einem unbekannten IP-Bereich.<\/p>\n\n\n\n

Eine traditionelle Erkennung w\u00fcrde m\u00f6glicherweise drei separate Alerts erzeugen, die f\u00fcr sich genommen nur sehr wenig \u201eActionability\u201c besitzen. Analysten m\u00fcssten die einzelnen Hinweise miteinander verkn\u00fcpfen, um der Ursache auf den Grund zu gehen. Vielleicht tun sie das. Vielleicht auch nicht.<\/p>\n\n\n\n

In einem entit\u00e4tszentrierten Modell sind alle diese Aktivit\u00e4ten miteinander verbunden. Das System wei\u00df, dass es sich um denselben Benutzer handelt. Es sieht die Abweichung vom typischen Verhalten. Es versteht den Zeitrahmen. Es erh\u00f6ht die Risikobewertung. Und es liefert ein einziges, zusammenh\u00e4ngendes Signal, das der Automatisierung gen\u00fcgend Kontext gibt, um ohne zu z\u00f6gern Ma\u00dfnahmen zu ergreifen.<\/p>\n\n\n\n

Die entit\u00e4tszentrierte Erkennung erg\u00e4nzt und verbessert die folgenden Merkmale anderer Erkennungsmodelle.<\/p>\n\n\n\n