In diesem Arbeitspaket wurde auf der Basis des sogenannten „Event Tracing for Windows (ETW)" für Windows 10 Enterprise eine Methodik für nachrichtenbasierte Analysen entwickelt. Zusätzlich werden zwei Anwendungsgebiete vorgestellt.
1. Die Grundlage einer Datenanalyse der Windows Telemetrie für bestimmte Szenarien auf Basis einer nachrichtenbasierten Analyse
2. Eine nachrichtenbasierte Analyse für konkrete Szenarien auf dem Feld des Threat Huntings

• Methodik für ETW-Monitoring (AFUNKT)

Inhaltsverzeichnis

1 Einleitung
1.1 Zusammenfassung
2 Allgemeines
2.1 Komponente
2.2 Event Tracing for Windows
2.3 Record-Datenstruktur
2.4 Windows Telemetrie
3 Technische Analyse
3.1 Szenariodefinition
3.2 ETW Provider Identifizierung
3.3 Spezifische Metadaten
3.4 Qualitative Analyse der Aufzeichnung
4 Beispielhafte Analyse
4.1 Windows Telemetrie Inhaltsanalysen
4.2 Nutzung von ETW für Threat Hunting

Kurzzusammenfassung

Die vorgestellte Methodik ist ein vierstufiger Prozess. Zu Beginn wird ein nicht-technisches Szenario gewählt und definiert. Ausgehend von diesem Szenario wird die technische Komponente inklusive ihrer Bestandteile (d.h., Binärdateien abgeleitet. Im zweiten Schritt werden für diese Bestandteile die ETW Provider bestimmt. Im dritten Schritt werden die für die Analyse notwendigen Metadaten der ETW Provider definiert. Damit ist es möglich, die Metadaten aufzuzeichnen, die zum definierten Szenario gehören. Im letzten und vierten Schritt wird gezeigt wie die erhobenen Daten durchsucht und analysiert werden können.