Zum Hauptinhalt springen

Monitor für fehlgeschlagene Anmeldungen

Alert on repeated failed login attempts on Windows, macOS, and Linux. Set a threshold and time window, scope to all users or admins only, and attach remediations like locking the device.

Einführung

Erkennen Sie Brute-Force-Angriffe und Missbrauch von Anmeldedaten, bevor sie erfolgreich sind. Der Monitor für fehlgeschlagene Anmeldungen löst einen Alarm aus, wenn ein Gerät innerhalb eines von Ihnen definierten Zeitfensters fehlgeschlagene Anmeldeversuche in Höhe oder oberhalb Ihres Schwellenwerts verzeichnet.

Es handelt sich um einen nativen Monitor, der unter Windows, macOS und Linux funktioniert. Keine Ereignis-IDs, kein Log-Parsing, keine benutzerdefinierten Skripte.

Monitor für fehlgeschlagene Anmeldungen

Level liest fehlgeschlagene Authentifizierungsversuche aus den eigenen Sicherheitsprotokollen des jeweiligen Betriebssystems, zählt sie über ein rollendes Rückblickfenster und löst einen Alarm aus, wenn die Anzahl Ihren Schwellenwert.

Die Kombination aus Schwellenwert und Zeitfenster trennt relevante Signale von Hintergrundrauschen. Ein falsch eingegebenes Passwort ist Alltag. 10 Fehlversuche in 5 Minuten sind ein aktiver Angriff.

Failed Login Monitor

Was wird erkannt – je Plattform

Die Erkennungsquellen unterscheiden sich je nach Betriebssystem, daher ist die Abdeckung nicht überall identisch. Es gibt keine betriebssystemspezifische Konfiguration: Weisen Sie die Monitor-Richtlinie Windows-, macOS- oder Linux-Geräten zu, und der Monitor funktioniert auf allen.

🖥️ PLATTFORMHINWEIS:

  • Windows: Liest das Sicherheitsereignisprotokoll (Ereignis-ID 4625) über ein Live-Abonnement. Erfasst alle von Windows aufgezeichneten fehlgeschlagenen Anmeldungen: interaktiv, RDP, Netzwerk usw. Die Erkennung erfolgt in Echtzeit.

  • macOS: Liest das einheitliche Protokoll. Erfasst SSH-Fehlversuche, sudo- und su-Fehlversuche sowie Fehlversuche am GUI-Anmeldefenster und am Sperrbildschirm. Wird alle 10 Sekunden geprüft.

  • Linux: Liest /var/log/btmp, denselben Eintrag für fehlgeschlagene Anmeldungen lastb liest. Erfasst alles, was PAM dort schreibt: Konsole, SSH usw. Wird alle 10 Sekunden geprüft.

⚠️ WARNUNG: Der Monitor sieht nur das, was das Betriebssystem protokolliert. Unter Windows muss die Überwachung fehlgeschlagener Anmeldungen aktiviert sein (standardmäßig ist sie es). Unter Linux hängt die Erkennung davon ab, ob /var/log/btmp vorhanden ist. Einige Distributionen erstellen sie nicht standardmäßig, und wenn sie fehlt, meldet der Agent nichts anstatt eines Fehlers. Ein stilles Gerät ist kein Beweis dafür, dass keine fehlgeschlagenen Anmeldungen stattgefunden haben.

💡 TIPP: Bevor dieser Monitor existierte, war der Standardansatz ein Ereignisprotokoll-Monitor, der die Windows-Ereignis-ID 4625 überwachte. Der Monitor für fehlgeschlagene Anmeldungen ersetzt diesen in den meisten Fällen und deckt im Gegensatz zum Ereignisprotokoll-Monitor auch macOS und Linux ab.

Monitor für fehlgeschlagene Anmeldungen konfigurieren

Öffnen Sie die Monitor-Richtlinie, zu der Sie diesen Monitor hinzufügen möchten, und klicken Sie auf + Neuen Monitor hinzufügen (oder öffnen Sie einen vorhandenen Monitor für fehlgeschlagene Anmeldungen zur Bearbeitung). Das Konfigurationsfenster öffnet sich.

Name und Typ

  1. Geben Sie einen Namen in das Name Feld. Seien Sie konkret hinsichtlich Umfang und Zweck: „Server – Fehlgeschlagene Admin-Anmeldungen" liest sich in einer Alarmliste besser als „Alarm für fehlgeschlagene Anmeldungen".

  2. Setzen Sie Typ auf Fehlgeschlagene Anmeldung.

Schweregrad

Setzen Sie Schweregrad so, wie Ihr Team reagieren soll:

  • Information — niedrige Priorität, zur Information

  • Warnung — beachtenswert, aber nicht dringend

  • Kritisch — erfordert zeitnahe Reaktion

  • Notfall — alles stehen und liegen lassen

💡 TIPP: „Kritisch" ist hier ein sinnvoller Standardwert. Wiederholte fehlgeschlagene Anmeldungen auf einem Server oder einem Admin-Konto verdienen in der Regel einen zeitnahen Blick, auch wenn sich die meisten als Benutzer herausstellen, die ihr Passwort nach dem Urlaub vergessen haben.

Geltungsbereich

Geltungsbereich legt fest, welche Konten zum Schwellenwert zählen:

  • Alle Benutzer — fehlgeschlagene Versuche von jedem Konto auf dem Gerät werden gezählt

  • Nur Admin-Benutzer — nur fehlgeschlagene Versuche gegen Konten auf Administratorebene werden gezählt; Nicht-Admin-Fehlschläge werden vor der Zählung ausgeschlossen

Was als Admin-Konto gilt, hängt von der Plattform ab:

🖥️ PLATTFORMHINWEIS:

  • Windows: Das integrierte Administratorkonto oder die Mitgliedschaft in der lokalen Administratorengruppe.

  • macOS: root, oder Mitgliedschaft in der admin oder wheel Gruppe.

  • Linux: root, oder Mitgliedschaft in der sudo, wheel, oder root Gruppe.

💡 TIPP: Führen Sie zwei Monitore in derselben Richtlinie aus: einen allgemeinen Alle Benutzer Monitor auf Schweregrad „Warnung" und einen strengeren Nur Admin-Benutzer Monitor auf „Kritisch" oder „Notfall". Angriffe auf privilegierte Konten verdienen einen lauteren Alarm.

Schwellenwert

Schwellenwert legt die Anzahl der fehlgeschlagenen Versuche fest, die den Alarm auslöst. Stellen Sie ihn mit den Pfeiltasten ein.

Der Vergleich erfolgt nach dem Prinzip „erreicht oder überschreitet". Bei einem Schwellenwert von 3 löst der 3. fehlgeschlagene Versuch innerhalb des Fensters den Alarm aus. Es gibt keine Anforderung an aufeinanderfolgende Prüfungen; der Alarm wird bei der ersten Auswertung ausgelöst, die den Schwellenwert überschreitet.

Dauer

Dauer ist das rollende Rückblickfenster, gegen das der Schwellenwert gemessen wird. Versuche, die älter als das Fenster sind, fallen aus der Zählung heraus.

Wählen Sie eine Einheit aus dem Dropdown-Menü und stellen Sie dann den Wert mit den Pfeilen oder dem Schieberegler ein:

  • Minuten — 1 bis 120

  • Stunden — 1 bis 24

Kürzere Fenster erkennen schnelle, automatisierte Angriffe. Längere Fenster erkennen langsame, gezielte Angriffe. 3 Versuche in 60 Minuten ist ein vernünftiger Ausgangspunkt für Arbeitsstationen; für Server, die RDP oder SSH ausgesetzt sind, sollte dies enger gefasst werden.

ℹ️ HINWEIS: Das Fenster ist rollend, nicht fest. Level prüft kontinuierlich (in Echtzeit unter Windows, innerhalb von Sekunden unter macOS und Linux) und wertet das nachlaufende Fenster aus, sodass die Zählungen nicht zur vollen Stunde zurückgesetzt werden.

Behebung

Fügen Sie eine oder mehrere Automatisierungen hinzu, die ausgeführt werden, wenn dieser Alarm ausgelöst wird. Bei fehlgeschlagenen Anmeldungen ist Gerät sperren ist der naheliegende Kandidat: erst den Angriff stoppen, dann untersuchen.

  1. Klicken Sie in das Behebung Feld und wählen Sie eine Automatisierung aus.

  2. Um weitere hinzuzufügen, klicken Sie auf + Weitere Behebung hinzufügen.

  3. Um eine zu entfernen, klicken Sie auf × daneben.

Jede angehängte Automatisierung hat 2 Symbole: Das Link-Symbol öffnet die Automatisierung in einem neuen Tab, und das Augensymbol zeigt eine schnelle Vorschau dessen, was sie tut.

⚠️ WARNUNG: Behebungen werden automatisch in dem Moment ausgeführt, in dem der Alarm erstellt wird. Das Koppeln dieses Monitors mit einer destruktiven Automatisierung (Sperren, Löschen, Konto deaktivieren) bei einem zu niedrigen Schwellenwert kann legitime Benutzer aussperren, die sich ein Passwort ein paarmal vertippen. Testen Sie Ihren Schwellenwert anhand des realen Verhaltens, bevor Sie aggressive Behebungen hinzufügen.

Empfänger benachrichtigen

Zwei Kontrollkästchen steuern, ob die Empfänger der Richtlinie per E-Mail benachrichtigt werden:

  • Bei Alarmerstellung — Empfänger erhalten eine E-Mail, wenn der Alarm ausgelöst wird

  • Bei Alarmauflösung — Empfänger erhalten eine E-Mail, wenn der Alarm aufgelöst wird

Empfänger werden auf Ebene der Monitor-Richtlinie konfiguriert, im Empfänger Abschnitt. Wenn in der Richtlinie keine Empfänger festgelegt sind, werden unabhängig von diesen Kontrollkästchen keine E-Mails versendet.

Automatische Auflösung

Der Alarm automatisch auflösen, wenn die Bedingungen nicht mehr zutreffen Umschalter steuert, ob Level den Alarm automatisch schließt, sobald die fehlgeschlagenen Versuche innerhalb des Rückblickfensters wieder unter den Schwellenwert fallen.

Alarme für fehlgeschlagene Anmeldungen stellen etwas dar, das bereits geschehen ist, und ein ruhiges Fenster bedeutet nicht, dass das Ereignis keine Bedeutung hatte. Wenn die automatische Auflösung deaktiviert bleibt, bleibt der Alarm offen, bis ein Techniker ihn überprüft.

Was der Alarm anzeigt

Wenn der Monitor ausgelöst wird, fasst der Alarm die Anzahl zusammen („3 fehlgeschlagene Anmeldeversuche für Benutzer erkannt"), gefolgt von einer Liste der Benutzer und Quellen je Versuch.

Was im Quellfeld angezeigt wird, hängt von der Plattform ab:

🖥️ PLATTFORMHINWEIS:

  • Windows: Der Benutzername erscheint als DOMAIN\user. Die Quelle ist die ursprüngliche IP-Adresse, alternativ der Name der Arbeitsstation.

  • macOS: Die Quelle ist die IP-Adresse bei SSH-Fehlversuchen, „lokal" bei sudo- und su-Fehlversuchen und „Anmeldefenster" bei GUI-Fehlversuchen.

  • Linux: Die Quelle ist der in btmp aufgezeichnete Hostname.

Häufig gestellte Fragen

  • Wer kann Monitore erstellen und bearbeiten? Techniker mit Zugriff auf die entsprechende Monitor-Richtlinie. Berechtigungseinstellungen werden unter Arbeitsbereich → Berechtigungen.

  • Ersetzt dieser Monitor den Ereignisprotokoll-Monitor für fehlgeschlagene Anmeldungen? In den meisten Fällen ja. Der Monitor für fehlgeschlagene Anmeldungen ist nativ, benötigt keine Ereignis-ID-Konfiguration und funktioniert auf allen 3 Plattformen. Der Ereignisprotokoll-Ansatz macht weiterhin Sinn, wenn Sie verwandte Windows-Ereignis-IDs überwachen möchten, die dieser Monitor nicht abdeckt, oder fehlgeschlagene Anmeldungen mit anderen Sicherheitsereignissen in einem Monitor kombinieren möchten.

  • Welche Anmeldetypen werden gezählt? Alles, was das Betriebssystem als fehlgeschlagene Authentifizierung aufzeichnet. Unter Windows ist das jeder Anmeldefehler mit Ereignis-ID 4625 (interaktiv, RDP, Netzwerk). Unter macOS: SSH, sudo, su und das GUI-Anmeldefenster oder der Sperrbildschirm. Unter Linux: alles, was PAM in btmp schreibt, einschließlich Konsole und SSH.

  • Was gilt als Admin-Benutzer bei „Nur Admin-Benutzer"? Unter Windows das integrierte Administratorkonto oder Mitglieder der lokalen Administratorengruppe. Unter macOS root oder Mitglieder der admin- oder wheel-Gruppe. Unter Linux root oder Mitglieder der sudo-, wheel- oder root-Gruppe.

  • Werden fehlgeschlagene Versuche gegen nicht vorhandene Benutzernamen gezählt? Ja. Level zählt jeden fehlgeschlagenen Versuch, den das Betriebssystem aufzeichnet, unabhängig davon, ob das Konto auf dem Gerät vorhanden ist. SSH-Brute-Force gegen ungültige Benutzernamen löst den Monitor trotzdem aus.

  • Warum zeigt ein Linux-Gerät nie fehlgeschlagene Anmeldungen an, obwohl ich weiß, dass es welche gibt? Prüfen Sie, ob /var/log/btmp vorhanden ist. Einige Distributionen erstellen sie nicht standardmäßig, und ohne sie hat der Agent nichts zu lesen. Er meldet null anstatt eines Fehlers.

  • Warum wurde mein Alarm nicht ausgelöst? Ich weiß, dass jemand eine Anmeldung fehlgeschlagen ist. Die Anzahl muss den Schwellenwert innerhalb des Zeitfensters erreichen oder überschreiten. Versuche, die älter als das Fenster sind, fallen aus der Zählung heraus. Überprüfen Sie außerdem, ob das Gerät durch die Ziel-Tags der Richtlinie abgedeckt ist und ob Ihre Geltungsbereichseinstellung mit dem betroffenen Konto übereinstimmt.

  • Kann ich unterschiedliche Schwellenwerte für Server und Arbeitsstationen festlegen? Ja. Erstellen Sie separate Monitor-Richtlinien, die auf unterschiedliche Tags abzielen, und konfigurieren Sie den Schwellenwert jedes Monitors unabhängig voneinander.

  • Was passiert mit offenen Alarmen für fehlgeschlagene Anmeldungen, wenn ich den Monitor lösche? Bestehende Alarme bleiben bestehen. Das Löschen eines Monitors schließt keine bereits erstellten Alarme. Lösen Sie diese manuell auf.

Verwandte Artikel
Erste Schritte mit Monitoren
Beliebte Ressourcen
Ereignisprotokoll-Monitor
Festplatten-IOPS-Monitor
Monitor für Festplatten-Warteschlangenlänge
Hat dies deine Frage beantwortet?