Az - Defender

Reading time: 8 minutes

Microsoft Sentinel

Microsoft Sentinel ist eine cloud-native SIEM (Security Information and Event Management) und SOAR (Security Orchestration, Automation, and Response) Lösung auf Azure​.

Es aggregiert Sicherheitsdaten aus einer Organisation (vor Ort und in der Cloud) in einer einzigen Plattform und nutzt eingebaute Analysen und Bedrohungsinformationen, um potenzielle Bedrohungen zu identifizieren​. Sentinel nutzt Azure-Dienste wie Log Analytics (für massive Protokollspeicherung und Abfragen) und Logic Apps (für automatisierte Workflows) – das bedeutet, es kann nach Bedarf skalieren und sich mit den KI- und Automatisierungsfähigkeiten von Azure integrieren​.

Im Wesentlichen sammelt und analysiert Sentinel Protokolle aus verschiedenen Quellen, erkennt Anomalien oder böswillige Aktivitäten und ermöglicht es Sicherheitsteams, Bedrohungen schnell zu untersuchen und darauf zu reagieren, alles über das Azure-Portal, ohne dass eine lokale SIEM-Infrastruktur erforderlich ist​.

Microsoft Sentinel Konfiguration

Sie beginnen, indem Sie Sentinel in einem Azure Log Analytics-Arbeitsbereich aktivieren (der Arbeitsbereich ist der Ort, an dem Protokolle gespeichert und analysiert werden). Im Folgenden sind die grundlegenden Schritte aufgeführt, um zu beginnen:

1. Microsoft Sentinel in einem Arbeitsbereich aktivieren: Erstellen Sie im Azure-Portal einen neuen Log Analytics-Arbeitsbereich oder verwenden Sie einen vorhandenen und fügen Sie Microsoft Sentinel hinzu. Dies implementiert die Funktionen von Sentinel in Ihrem Arbeitsbereich.
2. Datenquellen verbinden (Datenconnectoren): Sobald Sentinel aktiviert ist, verbinden Sie Ihre Datenquellen mit den integrierten Datenconnectoren. Egal, ob es sich um Entra ID-Protokolle, Office 365 oder sogar Firewall-Protokolle handelt, Sentinel beginnt automatisch mit dem Import von Protokollen und Warnungen. Dies geschieht üblicherweise durch das Erstellen von Diagnostikeinstellungen, um Protokolle in den verwendeten Protokollarbeitsbereich zu senden.
3. Analyseregeln und Inhalte anwenden: Mit den eingehenden Daten aktivieren Sie integrierte Analyseregeln oder erstellen benutzerdefinierte, um Bedrohungen zu erkennen. Nutzen Sie das Content Hub für vorverpackte Regelvorlagen und Arbeitsmappen, die Ihre Erkennungsfähigkeiten ankurbeln.
4. (Optional) Automatisierung konfigurieren: Richten Sie Automatisierung mit Playbooks ein, um automatisch auf Vorfälle zu reagieren – wie das Senden von Warnungen oder das Isolieren kompromittierter Konten – und verbessern Sie Ihre gesamte Reaktion.

Hauptmerkmale

• Protokolle: Die Protokollkachel öffnet die Abfrageoberfläche von Log Analytics, wo Sie tief in Ihre Daten mit der Kusto Query Language (KQL) eintauchen können. Dieser Bereich ist entscheidend für Fehlersuche, forensische Analysen und benutzerdefinierte Berichterstattung. Sie können Abfragen schreiben und ausführen, um Protokollereignisse zu filtern, Daten aus verschiedenen Quellen zu korrelieren und sogar benutzerdefinierte Dashboards oder Warnungen basierend auf Ihren Erkenntnissen zu erstellen. Es ist das Zentrum für die Rohdatenexploration von Sentinel.
• Suche: Das Suchwerkzeug bietet eine einheitliche Oberfläche, um schnell Sicherheitsereignisse, Vorfälle und sogar spezifische Protokolleinträge zu finden. Anstatt manuell durch mehrere Kacheln zu navigieren, können Sie Schlüsselwörter, IP-Adressen oder Benutzernamen eingeben, um sofort alle verwandten Ereignisse anzuzeigen. Diese Funktion ist besonders nützlich während einer Untersuchung, wenn Sie schnell verschiedene Informationsstücke verbinden müssen.
• Vorfälle: Der Abschnitt Vorfälle zentralisiert alle gruppierten Warnungen in verwaltbare Fälle. Sentinel aggregiert verwandte Warnungen in einen einzigen Vorfall und bietet Kontext wie Schweregrad, Zeitlinie und betroffene Ressourcen. Innerhalb eines Vorfalls können Sie ein detailliertes Untersuchungsdiagramm anzeigen, das die Beziehung zwischen Warnungen darstellt, was es einfacher macht, den Umfang und die Auswirkungen einer potenziellen Bedrohung zu verstehen. Das Vorfallmanagement umfasst auch Optionen zum Zuweisen von Aufgaben, Aktualisieren von Status und Integrieren in Reaktions-Workflows.
• Arbeitsmappen: Arbeitsmappen sind anpassbare Dashboards und Berichte, die Ihnen helfen, Ihre Sicherheitsdaten zu visualisieren und zu analysieren. Sie kombinieren verschiedene Diagramme, Tabellen und Abfragen, um einen umfassenden Überblick über Trends und Muster zu bieten. Beispielsweise könnten Sie eine Arbeitsmappe verwenden, um eine Zeitachse von Anmeldeaktivitäten, geografische Karten von IP-Adressen oder die Häufigkeit spezifischer Warnungen im Laufe der Zeit anzuzeigen. Arbeitsmappen sind sowohl vorgefertigt als auch vollständig anpassbar, um den spezifischen Überwachungsbedürfnissen Ihrer Organisation gerecht zu werden.
• Hunting: Die Hunting-Funktion bietet einen proaktiven Ansatz zur Identifizierung von Bedrohungen, die möglicherweise keine Standardwarnungen ausgelöst haben. Sie kommt mit vorgefertigten Hunting-Abfragen, die mit Frameworks wie MITRE ATT&CK übereinstimmen, ermöglicht es Ihnen jedoch auch, benutzerdefinierte Abfragen zu schreiben. Dieses Tool ist ideal für fortgeschrittene Analysten, die nach versteckten oder aufkommenden Bedrohungen suchen, indem sie historische und Echtzeitdaten erkunden, wie ungewöhnliche Netzwerk Muster oder anomales Benutzerverhalten.
• Notebooks: Mit der Notebooks-Integration nutzt Sentinel Jupyter Notebooks für fortgeschrittene Datenanalysen und automatisierte Untersuchungen. Diese Funktion ermöglicht es Ihnen, Python-Code direkt gegen Ihre Sentinel-Daten auszuführen, was es möglich macht, maschinelles Lernen Analysen durchzuführen, benutzerdefinierte Visualisierungen zu erstellen oder komplexe Untersuchungsaufgaben zu automatisieren. Es ist besonders nützlich für Datenwissenschaftler oder Sicherheitsanalysten, die tiefere Analysen über Standardabfragen hinaus durchführen müssen.
• Entitätsverhalten: Die Seite Entitätsverhalten verwendet User and Entity Behavior Analytics (UEBA), um Baselines für normales Verhalten in Ihrer Umgebung zu etablieren. Sie zeigt detaillierte Profile für Benutzer, Geräte und IP-Adressen an und hebt Abweichungen vom typischen Verhalten hervor. Wenn beispielsweise ein normalerweise inaktives Konto plötzlich hohe Datenübertragungen aufweist, wird diese Abweichung markiert. Dieses Tool ist entscheidend für die Identifizierung von Insider-Bedrohungen oder kompromittierten Anmeldeinformationen basierend auf Verhaltensanomalien.
• Bedrohungsinformationen: Der Abschnitt Bedrohungsinformationen ermöglicht es Ihnen, externe Bedrohungsindikatoren zu verwalten und zu korrelieren – wie bösartige IP-Adressen, URLs oder Dateihashes – mit Ihren internen Daten. Durch die Integration mit externen Bedrohungsfeeds kann Sentinel automatisch Ereignisse kennzeichnen, die bekannten Bedrohungen entsprechen. Dies hilft Ihnen, Angriffe, die Teil breiterer, bekannter Kampagnen sind, schnell zu erkennen und darauf zu reagieren, und fügt eine weitere Kontextschicht zu Ihren Sicherheitswarnungen hinzu.
• MITRE ATT&CK: In der MITRE ATT&CK-Kachel ordnet Sentinel Ihre Sicherheitsdaten und Erkennungsregeln dem weithin anerkannten MITRE ATT&CK-Framework zu. Diese Ansicht hilft Ihnen zu verstehen, welche Taktiken und Techniken in Ihrer Umgebung beobachtet werden, potenzielle Lücken in der Abdeckung zu identifizieren und Ihre Erkennungsstrategie mit anerkannten Angriffsmustern in Einklang zu bringen. Es bietet eine strukturierte Möglichkeit, zu analysieren, wie Angreifer Ihre Umgebung angreifen könnten, und hilft bei der Priorisierung defensiver Maßnahmen.
• Content Hub: Der Content Hub ist ein zentrales Repository für vorverpackte Lösungen, einschließlich Datenconnectoren, Analyseregeln, Arbeitsmappen und Playbooks. Diese Lösungen sind darauf ausgelegt, Ihre Bereitstellung zu beschleunigen und Ihre Sicherheitslage zu verbessern, indem sie Best-Practice-Konfigurationen für gängige Dienste (wie Office 365, Entra ID usw.) bereitstellen. Sie können diese Inhalts-Pakete durchsuchen, installieren und aktualisieren, was es einfacher macht, neue Technologien in Sentinel zu integrieren, ohne umfangreiche manuelle Einrichtung.
• Repositories: Die Repositories-Funktion (derzeit in der Vorschau) ermöglicht die Versionskontrolle für Ihre Sentinel-Inhalte. Sie integriert sich mit Quellkontrollsystemen wie GitHub oder Azure DevOps und ermöglicht es Ihnen, Ihre Analyseregeln, Arbeitsmappen, Playbooks und andere Konfigurationen als Code zu verwalten. Dieser Ansatz verbessert nicht nur das Änderungsmanagement und die Zusammenarbeit, sondern erleichtert auch das Zurücksetzen auf frühere Versionen, falls erforderlich.
• Arbeitsbereichsverwaltung: Der Arbeitsbereichsmanager von Microsoft Sentinel ermöglicht es Benutzern, mehrere Microsoft Sentinel-Arbeitsbereiche zentral zu verwalten innerhalb eines oder mehrerer Azure-Mandanten. Der zentrale Arbeitsbereich (mit aktiviertem Arbeitsbereichsmanager) kann Inhalte konsolidieren, die in großem Maßstab an Mitgliedsarbeitsbereiche veröffentlicht werden sollen.
• Datenconnectoren: Die Seite Datenconnectoren listet alle verfügbaren Connectoren auf, die Daten in Sentinel bringen. Jeder Connector ist vorkonfiguriert für spezifische Datenquellen (sowohl Microsoft- als auch Drittanbieter) und zeigt seinen Verbindungsstatus an. Die Einrichtung eines Datenconnectors erfolgt in der Regel mit wenigen Klicks, wonach Sentinel beginnt, Protokolle aus dieser Quelle zu importieren und zu analysieren. Dieser Bereich ist entscheidend, da die Qualität und Breite Ihrer Sicherheitsüberwachung von der Reichweite und Konfiguration Ihrer verbundenen Datenquellen abhängt.
• Analysen: In der Analyse-Kachel erstellen und verwalten Sie die Erkennungsregeln, die die Warnungen von Sentinel steuern. Diese Regeln sind im Wesentlichen Abfragen, die nach einem Zeitplan (oder nahezu in Echtzeit) ausgeführt werden, um verdächtige Muster oder Schwellenwertüberschreitungen in Ihren Protokolldaten zu identifizieren. Sie können aus von Microsoft bereitgestellten Vorlagen wählen oder Ihre eigenen benutzerdefinierten Regeln mit KQL erstellen. Analyseregeln bestimmen, wie und wann Warnungen generiert werden, was sich direkt auf die Bildung und Priorisierung von Vorfällen auswirkt.
• Watchlist: Die Watchlist von Microsoft Sentinel ermöglicht die Sammlung von Daten aus externen Datenquellen zur Korrelation mit den Ereignissen in Ihrer Microsoft Sentinel-Umgebung. Nach der Erstellung können Sie Watchlists in Ihrer Suche, Erkennungsregeln, Bedrohungssuche, Arbeitsmappen und Reaktions-Playbooks nutzen.
• Automatisierung: Automatisierungsregeln ermöglichen es Ihnen, alle Automatisierungen der Vorfallbearbeitung zentral zu verwalten. Automatisierungsregeln optimieren die Nutzung von Automatisierung in Microsoft Sentinel und ermöglichen es Ihnen, komplexe Workflows für Ihre Vorfallorchestrierungsprozesse zu vereinfachen.