Du fasst keine Kabel an – und trotzdem ist Layer 1 (L1) für dich als SRE, DevOps-Engineer oder Plattformverantwortliche:r wichtig. Genau dieses scheinbare Paradox führt in der Praxis zu vielen Missverständnissen: Entweder wird L1 komplett ignoriert („Cloud macht das schon“), oder es wird bei jeder Performance-Anomalie reflexartig der Provider beschuldigt („die haben ein Kabelproblem“). Beides…
Packet Capture für Forensics ist eines der wenigen Werkzeuge, das im Incident Response nahezu universell funktioniert: Wenn Sie Pakete an den richtigen Stellen erfassen, bekommen Sie belastbare Evidence – unabhängig davon, ob ein Alert aus EDR, NDR, SIEM oder einem Ticket stammt. Gleichzeitig ist Packet Capture in der Praxis oft frustrierend, weil „einfach irgendwo mitschneiden“…
Ein OSI-Modell für Security Architecture Reviews: Template mit den richtigen Fragen ist ein pragmatischer Ansatz, um Architektur-Reviews reproduzierbar, vollständig und nachvollziehbar zu machen. In vielen Organisationen laufen Reviews sonst nach Bauchgefühl: Der eine fragt nach „Zero Trust“, der nächste nach „Logging“, ein dritter nach „Verschlüsselung“ – und am Ende bleiben Lücken, weil niemand systematisch geprüft…
NetFlow/sFlow/IPFIX für Detection sind in vielen Unternehmen die unterschätzten Arbeitspferde der Netzwerküberwachung: Sie liefern skalierbare Sichtbarkeit über „wer spricht wann wie viel mit wem“ – auch dann, wenn Payload durch TLS verschlüsselt ist oder Packet Capture zu teuer wird. Gleichzeitig führen Flow-Daten regelmäßig zu falschen Erwartungen: Sie sind keine vollständige Forensik, ersetzen kein EDR und…
Eine durchdachte IDS/IPS Placement Strategy entscheidet darüber, ob ein Intrusion Detection System (IDS) oder Intrusion Prevention System (IPS) in der Praxis wirklich schützt – oder nur teure Logdaten produziert. Viele Teams investieren in gute Sensoren, Signaturen und Threat-Feeds, übersehen aber den wichtigsten Hebel: den Platz im Netzwerk. Denn ein IDS/IPS sieht immer nur das, was…
Wenn ein SIEM zu viele Alerts erzeugt, liegt das Problem selten nur an „schlechten Regeln“. Häufig fehlt der Kontext, um Ereignisse richtig einzuordnen: Ist es ein physischer Link-Flap oder ein Angriff? Ein legitimer Admin-Login oder Credential Abuse? Ein erwarteter Service-Call oder ein API-Scan? Genau hier hilft der Ansatz SIEM-Use-Cases nach OSI: Indem Sie Use Cases…
UEBA für Netzwerktraffic wird häufig als „KI im SIEM“ missverstanden – dabei ist der Kern viel pragmatischer: Verhalten sichtbar machen, Abweichungen messen und daraus priorisierte Ermittlungsansätze ableiten. Gerade bei Netzwerkdaten ist das schwierig, weil klassische Logik („wenn Portscan, dann Alarm“) schnell an Grenzen stößt: Cloud-Native Workloads sind kurzlebig, Services skalieren automatisch, und verschlüsselter Traffic reduziert…
Deception Technology ist in vielen Security-Programmen noch immer ein „Nice-to-have“, obwohl sie in der Praxis oft genau dort wirkt, wo klassische Kontrollen zu spät kommen: beim lateralen Bewegungsmuster im internen Netz, bei stiller Reconnaissance und bei unautorisierten Zugriffsversuchen, die sich wie „normale“ Administration tarnen. Ein Honey-VLAN oder ein Honey-Service setzt auf ein simples Prinzip: Legitimer…
„Nutzbares“ Logging ist mehr als das bloße Sammeln von Ereignissen: Es bedeutet, dass Logs in Stresssituationen – etwa bei Incident Response, Forensik oder Availability-Problemen – schnell beantwortbare Fragen ermöglichen. In der Praxis scheitert das oft an fehlenden Feldern, inkonsistenten Zeitstempeln, unklarer Identität oder daran, dass Netzwerk- und Security-Teams unterschiedliche Begriffe verwenden. Eine OSI-schichtbasierte Checkliste schafft…
Ein MITM-Investigation-Playbook (Man-in-the-Middle) hilft, Verdachtsmomente strukturiert in belastbare Evidence zu übersetzen – und zwar so, dass Netzwerk-, SecOps- und IR-Teams eine gemeinsame Sprache haben. In modernen Unternehmensnetzen sind MITM-Szenarien nicht nur „klassisches“ ARP-Spoofing im LAN. Sie reichen von Layer-2-Manipulation (MAC-Move, Rogue Gateway), über Layer-3-Anomalien (asymmetrische Pfade, unerwartete Next-Hops), bis zu Layer-4-Indikatoren (Reset-/Retransmit-Spikes, Session-Rebinding) und Layer-7-Spuren…
Got questions? Ideas? Fill out the form below & our specialist will contact you.