USer Agent SOC Cyber Security Operations Center Managed SOC

CSOC-Event der Woche KW43: Verdächtige User Agents

KW43: CSOC-Event der Woche – Verdächtige User Agents

Durchschnittliche CSOC-Gesamtevents pro Tag:    24.783
Detektionshäufigkeit:      6.383

Eventbeschreibung: Verdächtige User Agents / Kritikalität = niedrig (3 / 10)

In dieser Woche berichten wir über ein Event welches auftritt, sobald ein verdächtiger User Agent detektiert wird.

User Agents werden genutzt, um Servern mitzuteilen, mithilfe welcher Anwendung der Zugriff erfolgt (Beispiele für User Agents sind Webbrowser, E-Mail-Programme, Newsreader und IRC-Clients). Diese Information ist notwendig, um entsprechende, für das abrufende Gerät angepasste Inhalte abzurufen. So wird eine Website, die mithilfe eines Mobilgeräts dargestellt wird, kompakt gehalten, um zu garantieren, dass die Inhalte anschaulich bleiben.
Um Daten im passenden Format für das jeweilige Endgerät darzustellen, haben alle Anwendungen einen User Agent, der an den entsprechenden Server übertragen wird. Bei diesem Vorgang erkennt das SOC entsprechend verdächtige User Agents, welche bekannten oder bedrohlichen Anwendungen zugeordnet werden können.

In unserem Fall handelt es sich um einen Scan mit dem Open Source Schwachstellenscanner OpenVAS, der aufgrund seines User Agents eindeutig identifiziert werden konnte.

Technische Beschreibung:

The User-Agent request header contains a characteristic string that allows the network protocol peers to identify the application type, operating system, software vendor or software version of the requesting software user agent.
https://developers.whatismybrowser.com/useragents/explore/