SIEM-Meldung „SERVER-WEBAPP uncommon user agent“ – was wirklich dahintersteckt

Wenn im Security Information and Event Management (SIEM) plötzlich eine Meldung wie „SERVER-WEBAPP uncommon user agent“ auftaucht, sorgt das oft für Stirnrunzeln in der IT-Abteilung. Handelt es sich um einen Angriff? Oder hat nur jemand ein Skript laufen lassen? Zeit, die kryptische Warnung zu entschlüsseln – und zu verstehen, was sie wirklich bedeutet.

Was ist überhaupt ein „User Agent“?

Jeder Webbrowser oder jedes Script, das eine Website aufruft, sendet im HTTP-Header einen sogenannten User-Agent-String mit. Dieser verrät, wer gerade kommuniziert – also ob es sich um Chrome, Firefox, Safari, ein Mobilgerät, ein Monitoring-Tool oder ein automatisiertes Script handelt.

Beispiele:

• Mozilla/5.0 (Windows NT 10.0; Win64; x64) Chrome/122.0.0.0
• curl/7.88.1
• python-requests/2.31.0

Damit kann der Server oder ein Sicherheitssystem einschätzen, ob der Traffic „normal“ ist – oder eher nach einem Bot, Scanner oder Angriff aussieht.

Was bedeutet „uncommon user agent“?

Das SIEM-System hat eine Baseline, also eine Vorstellung davon, welche User Agents typischerweise auf eure Webanwendung zugreifen. Wenn plötzlich ein unbekannter, seltener oder auffälliger User Agent auftaucht, wird Alarm geschlagen.

Verdächtige Beispiele:

• sqlmap/1.7.10 → typisches Angriffstool
• curl/7.58.0 → manuelle Abfrage per Terminal
• python-requests/2.27.1 → Script oder Crawler
• Leerer String "" → verdächtig
• oder einfach: test, scanner, aaa

Diese Meldung heißt also schlicht:

„Da ruft gerade jemand oder etwas unsere Webapp auf – aber nicht mit einem normalen Browser.“

Warum steht davor „SERVER-WEBAPP“?

Das Präfix zeigt, dass der Vorfall in die Kategorie „Webserver/Webanwendung“ gehört. Der Traffic betraf also keine Firewall, kein internes Netzwerk oder eine API, sondern eine öffentliche Webanwendung. Damit ist klar: Der ungewöhnliche User Agent wurde im HTTP(S)-Verkehr entdeckt.

Warum das sicherheitsrelevant ist

Ein ungewöhnlicher User Agent bedeutet noch keinen erfolgreichen Angriff – aber er ist ein Indikator. Denn viele Angriffe beginnen mit einem Scan oder Testlauf, bei dem Tools automatisiert Websites abklopfen. Dahinter können stecken:

1. Vulnerability-Scanner – Tools wie Nessus, Acunetix, Nikto oder sqlmap
2. Automatisierte Skripte – selbst gebaute Python- oder Bash-Skripte
3. Malware-Kommunikation – z. B. Command-and-Control über HTTP
4. Fehlkonfigurationen – interne Tools ohne Browserkennung

Kurz gesagt: Nicht jeder uncommon User Agent ist gefährlich – aber jeder verdient einen Blick.

So analysierst du den Vorfall richtig

Wenn du die Meldung im SIEM siehst, lohnt sich ein genauer Blick auf:

• User Agent: exakter String (Tool? leer? zufällig?)
• Source-IP: intern, extern oder aus ungewöhnlicher Region?
• Ziel-URL: greift jemand /phpmyadmin oder /login an?
• Zeit & Frequenz: einmaliger Aufruf oder systematischer Scan?
• HTTP-Methode: nur GET oder auch POST mit Datenübertragung?

So lässt sich schnell unterscheiden zwischen:

• harmlosen Monitoring-Checks,
• internen API-Calls,
• und echten Angriffen.

Handlungsempfehlungen

1. Bewerten und dokumentieren: Wenn es sich um bekannte Tools oder interne Checks handelt → Whitelist.

2. Verdächtige Fälle untersuchen: Source-IP prüfen, weitere Logs durchsuchen, Geolocation abgleichen.

3. Bei echten Angriffsmustern:

• IP blockieren
• in WAF Regeln verschärfen
• Vorfall dokumentieren
• ggf. Incident Response-Team informieren

Die Meldung „SERVER-WEBAPP uncommon user agent“ ist kein Alarm mit Blaulicht, sondern ein Hinweis: Da ist jemand unterwegs, der nicht wie ein normaler Besucher aussieht. Sie hilft, potenzielle Angriffe frühzeitig zu erkennen – bevor sie Schaden anrichten. Wer regelmäßig analysiert, lernt schnell, zwischen harmlosen Tools und echten Bedrohungen zu unterscheiden.

Merke:

Ungewöhnlich ist nicht automatisch gefährlich – aber wer’s ignoriert, merkt zu spät, wenn es gefährlich wird.