Handreiking Identificeren Infecties

Hoe vind je de bron van infectiemeldingen?

In deze handreiking vind je praktische richtlijnen voor het opsporen en analyseren van malware-infecties en ander potentieel risicovol netwerkgedrag. De focus ligt op meldingen die voortkomen uit netwerkverkeeranalyse, zowel in realtime als achteraf, evenals informatie uit onderzoeken naar botnets, sinkholes en honeypots. Deze gegevens worden vaak via internationale handhavingsinstanties gedeeld met providers en nationale CSIRTs, zoals SURFcert.

Een belangrijke uitdaging bij deze meldingen is dat de infectie vaak wordt gekoppeld aan een publiek IP-adres van de organisatie, terwijl de daadwerkelijke bron zich elders binnen het netwerk bevindt. Dit probleem wordt versterkt in omgevingen met Bring-Your-Own-Device (BYOD), waar systemen minder goed traceerbaar zijn in de logs.

Deze handreiking biedt inzicht in bruikbare databronnen en helpt bij het interpreteren van meldingen om het geïnfecteerde systeem te lokaliseren. Daarnaast bevat het praktische SPL- (Splunk) en KQL- (Sentinel) queries die je kunt aanpassen aan jouw specifieke netwerkomgeving.