Überblick
Das Modul Überwachung & Vorfälle ist die operative Sicherheitsschicht der ThreatZ-Plattform. Es ermöglicht Automotive-Cybersicherheitsteams, Sicherheitsereignisse in vernetzten Fahrzeugen zu erkennen, zu korrelieren, zu untersuchen und darauf zu reagieren. Das Modul integriert Echtzeit-Ereignisaufnahme, automatisierte Bedrohungskorrelation, Vorfall-Lebenszyklusmanagement, Anomalie-Alarmierung und externe VSOC-Konnektivität in einer einzigen operativen Umgebung.
Kernkonzepte
Beobachtete Sicherheitsereignisse
Beobachtete Sicherheitsereignisse sind die Rohsignale, die von Fahrzeugsystemen, Sensoren oder externen Feeds aufgenommen werden. Jedes Ereignis trägt einen Schweregrad (Kritisch, Hoch, Mittel, Niedrig, Info), eine Roh-Payload, Quellmetadaten und Kontextwerte. Ereignisse folgen einem definierten Status-Workflow:
Ausstehend → Verarbeitung → Korreliert / Unkorreliert → Bestätigt / Verworfen → Eskaliert → GelöstVorfälle
Vorfälle sind strukturierte Untersuchungen, die entweder manuell oder durch Eskalation eines korrelierten Sicherheitsereignisses erstellt werden. Jeder Vorfall umfasst:
- Schweregrad (Kritisch, Hoch, Mittel, Niedrig)
- Statusverfolgung (Neu → Untersuchung → In Bearbeitung → Gelöst)
- Zugewiesener Analyst
- Gesprächsfaden-Kommentare und Nachweisanhänge
- Verknüpfungen zu verwandten Assets, Schäden, Bedrohungen und Risiken
- Optionale Zuordnung zu Threat-Intelligence-Feeds
Bedrohungskorrelation
Bedrohungskorrelation ist der Prozess des Abgleichs beobachteter Ereignisse mit Bedrohungsszenario-Indikatoren, die im TARA-Modul definiert sind. Die Korrelations-Engine verwendet gewichtete Bewertung:
| Indikator-Schweregrad | Gewichtung |
|---|---|
| Kritisch | 100 |
| Hoch | 75 |
| Mittel | 50 |
| Niedrig | 25 |
Der Abgleich unterstützt exakte Werte, Wildcards (ECU_*), Regex-Muster (/MAC.*failed/) und Array-Enthaltensein — mit Bonusbewertung für kontextbasierte Treffer.
VSOC-Konfiguration
VSOC-Konfiguration definiert, wie Sicherheitsereignisse an externe Vehicle Security Operations Center exportiert werden:
- Endpunkt-URL und Authentifizierungsmethode (API Key, Bearer Token, Basic Auth, OAuth2, Zertifikat)
- Exportformat (JSON, AUTOSAR, STIX, Benutzerdefiniert)
- Feldzuordnungen für Quell-zu-Ziel-Transformation
- Wiederholungskonfiguration mit exponentiellem Backoff
- Exportstatistiken und Statusverfolgung
Dashboards & Visualisierungen
Das Sicherheits-Dashboard bietet Echtzeit-Situationsbewusstsein durch mehrere Widgets:
- Sicherheitsstatus: Gesamtrisikostufe mit Trendindikator (verbessernd / stabil / verschlechternd)
- Befundtrends: Schweregradverteilung über 7-Tage- und Monatszeiträume
- Angriffsoberflächen-Karte: Komponentenknoten (ECU, Gateway, TCU) mit Risikostufen-Indikatoren, Befundanzahlen und Bedrohungspfaden
- Aktive Kampagnen: Echtzeit-Kampagnenüberwachung
- Compliance-Scorecard: Aktuelle Compliance-Lage
- Aktuelle Alarme: Priorisierter Anomalie-Feed
Alle Dashboard-Daten werden über WebSocket-Abonnements bereitgestellt, mit projektbezogener raumbasierter Isolation.
Anomalie-Alarmierung
Die Anomalie-Alarm-Engine wertet kontinuierlich den Sicherheitszustand aus und generiert priorisierte Alarme:
| Alarmtyp | Auslöser | Priorität |
|---|---|---|
| Kritischer Befund | Befund mit kritischem Schweregrad erkannt | P1 |
| Befundspitze | Mehrere hochgradige Befunde in kurzer Zeit | P2 |
| Sicherheitsereignis | FATAL-Sicherheitsereignis während der Testdurchführung | P1 |
| Compliance-Verletzung | Compliance-Schwellenwert überschritten | P2 |
Alarme werden über In-App-Benachrichtigungen (WebSocket), E-Mail und Dashboard-Widgets zugestellt. Jeder Alarm enthält Schweregrad, Beschreibung, betroffene Entität und einen Direktlink zur relevanten Ressource.
Vorfallreaktions-Workflow
Entdeckung
↓
Erkennung — Sicherheitsereignis beobachtet und aufgenommen
↓
Korrelation — Ereignis mit Bedrohungsszenario-Indikatoren abgeglichen
↓
Eskalation — Korreliertes Ereignis in Vorfall umgewandelt (oder manuelle Erstellung)
↓
Untersuchung — Analyst zugewiesen, Nachweise angehängt, Kommentare hinzugefügt
↓
Lösung — Status aktualisiert, Vorfall geschlossen
↓
Nachbetrachtung — Aktivitätsprotokoll-Analyse, BefunddokumentationZusätzliche Workflows umfassen:
- Threat Intelligence → Vorfall: Externe Threat-Intelligence-Feeds direkt in verfolgte Vorfälle umwandeln
- Massenimport von Ereignissen: Batch-Import von Ereignissen mit automatisierter Korrelationsverarbeitung
- VSOC-Export: Ereignisse an externe Systeme mit Wiederholungslogik und Statusverfolgung übertragen
Benachrichtigungssystem
Das Modul unterstützt mehrkanalige Benachrichtigungen mit präferenzbasierter Filterung:
- In-App: Echtzeit-Zustellung über WebSocket
- E-Mail: Konfigurierbar pro Benachrichtigungskategorie
- Auslöser: Vorfallzuweisung, Analysten-Erwähnung, Ereigniskorrelation, Threat-Intelligence-Konvertierung
- RBAC-kompatibel: Benachrichtigungen respektieren die rollenbasierte Zugriffskontrolle
Infrastrukturüberwachung
Plattform-Level-Überwachung wird bereitgestellt durch:
- Prometheus-Metriken: Kampagnen-Statusübergänge, Sicherheitsereignis-Zählungen, WebSocket-Gesundheit, Kampagnendauer-Histogramme
- Alarmregeln: Erkennung blockierter Kampagnen (>24h), hohe Fehlerraten, fatale Sicherheitsereignisse, Agenten-Reaktionsfähigkeitsprüfungen
- Grafana-Dashboard: Vorkonfigurierte Panels für operatives Monitoring
Integration mit anderen Säulen
| Richtung | Säule | Datenfluss |
|---|---|---|
| Eingehend | TARA | Bedrohungsszenario-Indikatoren für die Korrelation |
| Eingehend | Governance | Sicherheitsereignis-Definitionen (AUTOSAR-konform) aus Katalogen |
| Eingehend | Testing | Sicherheitsereignisse aus der Kampagnendurchführung |
| Eingehend | Threat Intelligence | Externe Bedrohungsfeeds |
| Ausgehend | TARA | Vorfallverknüpfte Risiken und Assets |
| Ausgehend | Compliance | Vorfallprotokolle und Reaktionsnachweise |
| Ausgehend | Externes VSOC | Ereignisexporte (JSON, AUTOSAR, STIX, Benutzerdefiniert) |