Sicherheitsanalyse mit ChatGPT
Mustererkennung
Veröffentlicht in Ausgabe 05/2025 - SCHWERPUNKT
ChatGPT und vergleichbare LLMs erlauben, große Mengen an Logdaten zu durchsuchen, verdächtige Muster zu identifizieren und Bedrohungen zu analysieren. Mit intelligenten Eingabeaufforderungen analysieren Administratoren sowohl Firewall-Logs, die Win-dows-Ereignisprotokolle, als auch den Netzwerkverkehr. Darüber hinaus ermöglicht ChatGPT eine schnelle Fehleranalyse und hilft bei der Verbesserung von Sicherheitsrichtlinien.
In diesem Workshop nutzen wir Chat-GPT beispielhaft, die Prompts können Sie aber größtenteils auch mit anderen KI-Bots verwenden, zum Beispiel Gemini und DeepSeek. Achten Sie aber unbedingt auf den Datenschutz, denn die meisten Large Language Models verwenden eingegebene Daten, um das zugrunde liegende KI-Modell zu trainieren. Sie sollten daher keine persönlichen oder sensiblen Daten in die Cloud hochladen. Mit Abonnements wie ChatGPT Plus oder Enterprise stellen Sie weitgehend sicher, dass die Daten nicht für das Training zum Einsatz kommen, wenn Sie in den Einstellungen unter "Datenkontrollen / Das Modell für alle verbessern" die Option "Aus" wählen.
Logdateien auswerten
Eine der praktischsten Funktionen von ChatGPT ist die Möglichkeit, Logdateien direkt in das Chatfenster hochzuladen. Über das Pluszeichen im Eingabefeld importieren Sie verschiedene Dateiformate wie LOG, TXT oder CSV für die Analyse. Das ist der beste Weg bei der Auswertung von Firewall-Logs, Windows-Ereignisprotokollen und anderen sicherheitsrelevanten Daten. Alternativ kopieren Sie einfach den unformatierten Inhalt der Logdateien in das Fenster – ist die Datenmenge zu groß, erhalten Sie eine Fehlermeldung. In diesem Fall teilen Sie die Daten einfach in kleinere Einheiten auf und geben diese nacheinander in den Prompt ein.
ChatGPT und vergleichbare LLMs erlauben, große Mengen an Logdaten zu durchsuchen, verdächtige Muster zu identifizieren und Bedrohungen zu analysieren. Mit intelligenten Eingabeaufforderungen analysieren Administratoren sowohl Firewall-Logs, die Win-dows-Ereignisprotokolle, als auch den Netzwerkverkehr. Darüber hinaus ermöglicht ChatGPT eine schnelle Fehleranalyse und hilft bei der Verbesserung von Sicherheitsrichtlinien.
In diesem Workshop nutzen wir Chat-GPT beispielhaft, die Prompts können Sie aber größtenteils auch mit anderen KI-Bots verwenden, zum Beispiel Gemini und DeepSeek. Achten Sie aber unbedingt auf den Datenschutz, denn die meisten Large Language Models verwenden eingegebene Daten, um das zugrunde liegende KI-Modell zu trainieren. Sie sollten daher keine persönlichen oder sensiblen Daten in die Cloud hochladen. Mit Abonnements wie ChatGPT Plus oder Enterprise stellen Sie weitgehend sicher, dass die Daten nicht für das Training zum Einsatz kommen, wenn Sie in den Einstellungen unter "Datenkontrollen / Das Modell für alle verbessern" die Option "Aus" wählen.
Logdateien auswerten
Eine der praktischsten Funktionen von ChatGPT ist die Möglichkeit, Logdateien direkt in das Chatfenster hochzuladen. Über das Pluszeichen im Eingabefeld importieren Sie verschiedene Dateiformate wie LOG, TXT oder CSV für die Analyse. Das ist der beste Weg bei der Auswertung von Firewall-Logs, Windows-Ereignisprotokollen und anderen sicherheitsrelevanten Daten. Alternativ kopieren Sie einfach den unformatierten Inhalt der Logdateien in das Fenster – ist die Datenmenge zu groß, erhalten Sie eine Fehlermeldung. In diesem Fall teilen Sie die Daten einfach in kleinere Einheiten auf und geben diese nacheinander in den Prompt ein.
Bevor Sie mit ChatGPT chatten, können Sie der KI Anweisungen geben, wie sie im Chat reagieren soll. Geben Sie zum Beispiel ein: "Agiere als ein IT-Sicherheitsexperte, der Logdateien von Firewalls analysiert". Nutzen Sie anschließend für die Analyse einer Firewall-Logdatei den Prompt "Analysiere die hochgeladene Firewall-Logdatei und identifiziere verdächtige IP-Adressen oder auffällige Verbindungen", erkennt ChatGPT darin Muster, hebt verdächtige Anfragen hervor und liefert eine Zusammenfassung der sicherheitsrelevanten Ereignisse. Basierend auf den Antworten können Sie weitere Fragen stellen und sich über die empfohlene Vorgehensweise informieren. Wenn Sie eine Erklärung von ChatGPT nicht verstehen, können Sie nachfragen und sich den Sachverhalt genauer erklären lassen. Das gilt auch für Abkürzungen und Fachausdrücke.
Um eine große Logdatei auszuwerten, stehen Ihnen zusätzliche Prompts zur Verfügung, zum Beispiel: "Fasse die wichtigsten sicherheitsrelevanten Ereignisse der letzten 24 Stunden zusammen" oder "Erstelle eine Liste der IP-Adressen, die innerhalb einer Stunde mehr als 100 Verbindungsversuche unternommen haben". Auch nützlich in diesem Zusammenhang: "Identifiziere ungewöhnliche Ports und Protokolle in der hochgeladenen Logdatei".
Um mit ChatGPT Angriffsmuster zu erkennen, motivieren Sie das LLM zur Unterstützung mit "Suche in der hochgeladenen Logdatei nach typischen Indikatoren für einen Brute-Force-Angriff oder Port-Scanning". Für Windows-Administratoren ist es hilfreich, die Ereignisprotokolle zu analysieren. Typische Anfragen zu den Windows-Sicherheitsprotokollen sind etwa "Analysiere die hochgeladene Windows-Sicherheitsprotokolldatei und suche nach fehlgeschlagenen Anmeldeversuchen, die auf eine mögliche Kompromittierung hindeuten" oder "Gibt es in den hochgeladenen Logs Hinweise auf verdächtige Aktivitäten, zum Beispiel zahlreiche fehlgeschlagene Anmeldeversuche in kurzer Zeit?". Durch diese gezielten Abfragen erkennen Sie nicht nur Sicherheitsbedrohungen, sondern gewinnen auch Einblicke in die normale und anormale Nutzung Ihrer Systeme.
Bei einem Sicherheitsvorfall unterstützt ChatGPT bei forensischen Analysen und der Rekonstruktion des Angriffsverlaufs. Dazu laden Sie relevante Logfiles hoch und verwenden eine Eingabeaufforderung wie "Rekonstruiere den Verlauf eines möglichen Angriffs und identifiziere die Eintrittspunkte auf Basis der hochgeladenen Firewall- und Sicherheitsprotokolle". Die Integration von Threat-Intelligence-Feeds ermöglicht es, bekannte bösartige IP-Adressen oder Domänen mit den Logdaten abzugleichen; dies erreichen Sie mit "Vergleiche die hochgeladene Logdatei mit aktuellen Bedrohungsindikatoren und identifiziere Übereinstimmungen".
Analyse von Windows-Ereignisprotokollen
ChatGPT identifiziert auch Anomalien in Firewall-Logs oder den Windows-Ereignisanzeigen. Zur Analyse der Win- dows-Firewall-Logs laden Sie die Datei "C:\Windows \ System32 \ LogFiles \ Firewall \ pfirewall.log" in ChatGPT. Jetzt können Sie zum Beispiel den Prompt "Überprüfe die hochgeladene Windows-Firewall-Logdatei auf wiederkehrende Verbindungsversuche von der gleichen IP-Adresse und erstelle eine Liste mit auffälligen Mustern" verwenden.
Gleiches ist auch mit der Windows-Ereignisanzeige in Sachen Sicherheit möglich, die Sie sich zuvor per PowerShell beschaffen:
Get-WinEvent -LogName Security | Out-File C:\Logs\SecurityLog.txt
Ist die Datei in ChatGPT importiert, liefern Prompts wie etwa "Untersuche die hochgeladene Ereignisanzeige auf verdächtige Anmeldeversuche und erstelle eine Liste der betroffenen Benutzerkonten" nützliche Informationen. Neben dem Sicherheitsprotokoll wie im Beispiel stehen Ihnen natürlich auch die System- und Anwendungs-Logfiles für derartige Analysen zur Verfügung. Für einen Rundumschlag ziehen Sie einfach alle vorhandenen Windows-Ereignisprotokolle mit diesen vier Befehlen:
Get-WinEvent -LogName System | Out-File C:\Logs\SystemLog.txt
Get-WinEvent -LogName Anwendung | Out-File C:\Logs\AnwendungLog.txt
Get-WinEvent -LogName Sicherheit | Out-File C:\Logs\SecurityLog.txt
Get-WinEvent -LogName Setup | Out-File C:\Logs\SetupLog.txt
Doch oft ist es nicht notwendig, komplette Ereignisprotokolle zu exportieren, da nur bestimmte Inhalte von Interesse sind. Sie filtern kritische Fehler mit
Get-WinEvent -LogName Security | Where-Object {$_.LevelDisplayName -eq "Error"} | Out-File C:\Logs\SecurityErrors.txt
heraus. Sinnvoll ist in vielen Situationen auch das Filtern nach bestimmten Ereignis-IDs, zum Beispiel für fehlgeschlagene Anmeldeversuche (ID 4625):
Get-WinEvent -LogName Security | Where-Object {$_.Id -eq 4625} | Out-File C:\Logs\FailedLogins.txt.
Mehrere Ereignis-IDs auf einmal erfassen Sie, indem Sie den letzten Befehl erweitern, zum Beispiel für erfolgreiche und fehlgeschlagene Anmeldungen:
Get-WinEvent -LogName Security | Where-Object {$_.Id -in 4624,4625} | Out-File C:\Logs\LoginEvents.txt
Um die Analyse auf einen bestimmten Zeitraum zu beschränken, kombinieren Sie den Befehl mit einer Datumsabfrage, für die letzten sieben Tage verwenden Sie
$StartDate = (Get-Date).AddDays(-7)
Get-WinEvent -LogName Security | Where-Object { $_.TimeCreated -ge $StartDate } | Out-File C:\Logs\Letzte7TageSecurity-Events.txt
Liegen Ihre Ereignisprotokolle mit der gewünschten Informationstiefe Chat-GPT vor, stehen Ihnen zahlreiche Ansätze für eine Untersuchung offen. Da sich die Szenarien unterscheiden, zeigen wir hier eine Auswahl praxisbewährter Prompts:
- Analysiere die hochgeladene Datei auf verdächtige Ereignisse und erstelle eine Liste verdächtiger Aktivitäten.
- Welche Benutzerkonten haben sich in den letzten sieben Tagen am häufigsten angemeldet?
- Finde alle fehlgeschlagenen Anmeldeversuche und liste die zugehörigen IP-Adressen auf.
- Analysiere das hochgeladene Windows-Sicherheitsprotokoll und finde fehlgeschlagene Anmeldeversuche, die auf eine mögliche Kompromittierung hindeuten.
- Gibt es in den hochgeladenen Logs Hinweise auf verdächtige Aktivitäten, zum Beispiel viele fehlgeschlagene Anmeldeversuche in kurzer Zeit?
- Identifiziere verdächtige Aktivitäten von Administratoren in den Sicherheitsprotokollen und zeige, welche Konten auffällig viele Berechtigungsänderungen vorgenommen haben.
- Identifiziere bedenkliche Benutzeraktivitäten, etwa ein Konto, das sich zu ungewöhnlichen Zeiten anmeldet.
Die Methoden nutzen Sie auch, um Änderungen an Gruppenrichtlinien (GPOs) zu ermitteln, da Angreifer oft versuchen, diese zu manipulieren. Dazu weisen Sie ChatGPT zum Beispiel mit "Analysiere das hochgeladene Windows-Sicherheitsprotokoll auf unerwartete Änderungen an Gruppenrichtlinien und erstelle eine Liste der betroffenen Objekte" oder "Zeige alle sicherheitsrelevanten Änderungen an Gruppenrichtlinien innerhalb der letzten 48 Stunden" an. Wichtig ist zudem, Dienst- und Treiberinstallationen zu checken, da Malware oft in Form eines neuen Windows-Diensts auf das System gelangt. Hier helfen Prompts wie "Untersuche hochgeladene Systemprotokolle auf neu installierte oder gestartete Dienste, die nicht zu bekannten Windows-Prozessen gehören" oder "Erkenne verdächtige Treiberinstallationen, die auf potenzielle Rootkits oder Malware hinweisen".
Defender- und Firewall-Log untersuchen
Windows Defender protokolliert sicherheitsrelevante Informationen wie erkannte Bedrohungen, Scanergebnisse und Echtzeitschutzereignisse im Ereignisprotokoll unter "Microsoft-Windows-Windows Defender/Operational". Die Windows-Firewall speichert Verbindungsversuche, blockierte Anfragen und Konfigurationsänderungen im Protokoll "Microsoft-Windows-Windows Firewall With Advanced Security/Firewall". Auch diese Logs lassen sich mit ChatGPT analysieren, um verdächtige Aktivitäten zu identifizieren. Die Win-dows-Defender-Protokolle speichern Sie in einer Textdatei via PowerShell:
Get-WinEvent -LogName "Microsoft-Windows-Windows Defender/Operational" | Out-File C:\Logs\DefenderLog.txt
Auch bei diesen Protokollen haben Sie die Option, mit einem Zeitfilter zu arbeiten oder nur kritische Bedrohungsereignisse zu exportieren. Dabei gehen Sie vor, wie bei den Ereignisprotokollen beschrieben. Anschließend laden Sie die Logdateien in ChatGPT hoch. Um darin verdächtige Aktivitäten zu identifizieren, helfen diese Beispiel-Prompts weiter:
- Analysiere die hochgeladene Windows-Defender-Protokolldatei und identifiziere die zehn häufigsten Bedrohungen der letzten sieben Tage.
- Identifiziere ungewöhnliche Verbindungen in den Firewall-Protokollen und liste IP-Adressen auf, die in kurzer Zeit viele Verbindungsversuche unternommen haben.
- Zeige alle blockierten Verbindungen in den Firewall-Logs und prüfe, ob Muster erkennbar sind.
- Finde alle erkannten Bedrohungen in den Defender-Protokollen und vergleiche sie mit Malware-Indikatoren.
In den Protokollen der Windows-Firewall finden Sie mit ChatGPT auffällige Netzwerkverbindungen. Dieses Log exportieren Sie in eine Textdatei:
Get-WinEvent -LogName "Microsoft-Windows-Windows Firewall mit erweiterter Sicherheit/Firewall" | Out-File C:\Logs\FirewallLog.txt
Nun können Sie für die Windows-Firewall-Logs folgendes anfordern:
- Erstelle eine Liste aller blockierten Verbindungen der letzten 24 Stunden.
- Finde alle eingehenden Verbindungen von externen IP-Adressen, die über unsichere Ports wie 445 oder 3389 laufen.
- Eine Liste aller erfolgreich aufgebauten Remote-Desktop-Sitzungen aus den Firewall-Logs anzeigen.
Zusammenspiel mit anderen Protokollen
Neben den Standard-Ereignisprotokollen gibt es noch weitere Windows-spezifische Sicherheitslogdateien, die Sie mit Chat-GPT analysieren können. Ein Beispiel wären "Erkenne in den hochgeladenen BitLocker-Logs, ob es ungewöhnlich viele Versuche gab, ein Laufwerk zu entsperren", "Erkenne unautorisierte Zugriffe auf geschützte Systemdateien und identifiziere verdächtige Benutzer" oder "Untersuche hochgeladene DNS-Logs auf verdächtige Domains, die mit bekannten Malware-Kampagnen in Verbindung stehen".
Doch dies können Sie mit ChatGPT noch viel weiter treiben: Angenommen, Sie stellen fest, dass sich ein Benutzerkonto außerhalb der normalen Arbeitszeiten über RDP angemeldet hat. Zur weiteren Untersuchung müssen Sie Protokolle aus verschiedenen Quellen heranziehen:
1. Sicherheitsprotokoll: Enthält Anmeldeversuche (Ereignis-IDs 4624 für erfolgreiche Anmeldungen und 4625 für fehlgeschlagene Anmeldungen).
2. Systemprotokoll: Dokumentiert Systemstarts, Abstürze und Dienständerungen, die auf Manipulationen hinweisen könnten.
3. Firewall-Protokoll: Zeigt eingehende Verbindungen und deren Herkunfts-IP-Adresse.
4. Windows-Defender-Protokoll: Kann Hinweise auf verdächtige Aktivitäten oder Malware geben.
Dieses Szenario untersuchen Sie nun in ChatGPT mit dem Prompt "Analysiere die hochgeladenen Logdateien auf ungewöhnliche Remote-Desktop-Anmeldungen. Identifiziere erfolgreiche und fehlgeschlagene Anmeldeversuche außerhalb der regulären Arbeitszeiten und vergleiche sie mit den Firewall-Logs, um die Ursprungs-IP zu bestimmen". Hierbei ist ChatGPT in der Lage, auffällige IP-Adressen zu extrahieren, wiederkehrende Anmeldeversuche zu identifizieren und verdächtige Aktivitäten in einer zeitlichen Abfolge zu rekonstruieren. Ein weiteres Beispiel ist die Korrelation von verdächtigen Anmeldeversuchen mit Windows-Defender-Warnungen, zum Beispiel wenn nach einem Login eine schädliche Datei auftaucht. Hier sollte Ihre Frage lauten: "Überprüfe, ob nach einer erfolgreichen Anmeldung mit einem Administratorkonto ungewöhnliche Prozesse gestartet wurden oder Windows Defender Bedrohungen erkannt hat. Zeige mir eine chronologische Abfolge der Ereignisse."
Privilegien-Eskalation untersuchen
Ein häufiges Angriffsszenario ist die Privilegien-Eskalation, bei der ein Bösewicht versucht, Administratorrechte zu erlangen. Hier sind insbesondere das Sicherheitsprotokoll mit den Ereignis-IDs 4672 (Vergabe spezieller Rechte) und 4688 (Erstellen eines neuen Prozesses) und das Systemprotokoll zu Änderungen an Systemdiensten oder Manipulation von Windows-Komponenten relevant. Wichtig sind zudem die Windows-Defender-Protokolle, die Hinweise auf Malware oder bösartige Skripte liefern, die die Rechteeskalation unterstützt haben. ChatGPT macht sich an die Arbeit, wenn Sie beispielweise "Untersuche die hochgeladenen Logs nach Hinweisen darauf, dass ein Benutzerkonto erweiterte Berechtigungen erhalten hat. Analysiere, ob dies mit fehlgeschlagenen Anmeldeversuchen oder der Ausführung verdächtiger Prozesse zusammenhängt" als Prompt absetzen.
Finden sich in den Defender-Protokollen Hinweise auf Malware, ist Ihr nächster Schritt: "Vergleiche die Aktivitäten des Benutzerkontos mit den Windows Defender-Protokollen und überprüfe, ob bekannte Malware im Zusammenhang mit dem verdächtigen Konto gefunden wurde". Oft versucht der Angreifer zunächst, Zugang zum Netzwerk zu erhalten, dann seine Präsenz zu verbergen und schließlich Daten zu exportieren. Eine Analyse über mehrere Protokolle kann dieses Muster aufdecken, wie in dieser Schritt-für-Schritt-Analyse:
- Analyse der Firewall-Logs, um ungewöhnliche eingehende Verbindungen zu identifizieren: "Welche externen IP-Adressen haben sich in den letzten 24 Stunden am häufigsten mit dem Server verbunden?"
- Durchsuchen der Sicherheitsprotokolle nach verdächtigen Anmeldeversuchen: "Benutzerkonten mit ungewöhnlich vielen fehlgeschlagenen Anmeldeversuchen suchen."
- Windows Defender-Protokolle überprüfen, um festzustellen, ob nach der Anmeldung Malware erkannt wurde: "Gibt es Bedrohungserkennungen in den Windows-Defender-Protokollen nach der Anmeldung?
- Überprüfung der Systemprotokolle hinsichtlich Manipulation oder Löschung: "Wurden in letzter Zeit Windows-Ereignisprotokolle gelöscht oder manipuliert?
Diagramme und Grafiken auswerten
Neben textbasierten Logdateien kann ChatGPT auch mit Diagrammen und Grafiken umgehen. Dies ist besonders nützlich, wenn Sicherheitsberichte in Form von Visualisierungen vorliegen. Laden Sie zum Beispiel ein Diagramm mit Netzwerkverkehrsdaten oder einer Bedrohungsanalyse hoch, ist der passende Prompt "Analysiere das hochgeladene Diagramm und erkläre die wichtigsten sicherheitsrelevanten Erkenntnisse". Beinhaltet das Diagramm verdächtige Muster wie plötzliche Anstiege der Netzwerklast oder Spitzen bei fehlgeschlagenen Anmeldeversuchen, hebt ChatGPT diese hervor und liefert Vorschläge für weitere Untersuchungen.
Andersherum können Sie ChatGPT auch dazu bringen, bereits analysierte Logdateien zu visualisieren, in Excel-Tabellen zu übertragen oder Berichte zu erstellen. Schreiben Sie zum Beispiel "Analysiere die Logdaten und erstelle ein Balkendiagramm mit der Anzahl der fehlgeschlagenen Logins pro Stunde", liefert Chat-GPT ein entsprechendes Diagramm. Möchten Sie Ihrem Management eine kompakte, visuelle Zusammenfassung vorlegen, verwenden Sie eine Abfrage wie: "Erstelle eine Grafik mit allen verdächtigen IP-Adressen, die innerhalb von 24 Stunden mehr als 50 Verbindungsversuche generiert haben."
Fazit
Die Kombination aus PowerShell für den Export von Ereignisprotokollen, dem Verwenden von Protokolldateien, anderen Informationen und ChatGPT für die Analyse ermöglicht eine effiziente Identifikation von Sicherheitsvorfällen.
Durch die gemeinsame Auswertung von Windows-Logs aus verschiedenen Quellen, wie Sicherheits-, System- und Firewall-Logs sowie Windows Defender-Logs, können Admins Angriffsmuster ausmachen und gezielte Gegenmaßnahmen einleiten. Denn mit den passenden Prompts kann ChatGPT Sicherheitsereignisse korrelieren, auffällige Aktivitäten erkennen und eine umfassende Analyse liefern.
(jp)