Funktionsweise von Microsoft Sentinel

  • 10 Minuten

Wie Sie bereits erfahren haben, hilft Ihnen Microsoft Sentinel bei der Einrichtung vollumfassender sicherheitsrelevanter Vorgänge. Am Anfang steht die Protokollerfassung gefolgt von der automatisierten Reaktion auf Sicherheitswarnungen.

Im Folgenden werden die wichtigsten Features und Komponenten von Microsoft Sentinel vorgestellt.

Datenconnectors

Als Erstes müssen Sie Ihre Daten in Microsoft Sentinel erfassen. Genau das ermöglichen Datenconnectors. Sie können einige Dienste hinzufügen, z. B. Azure-Aktivitätsprotokolle, indem Sie einfach eine Schaltfläche auswählen. Für andere, z. B. Syslog, ist ein wenig Konfiguration erforderlich. Es gibt Datenconnectors, die eine Vielzahl von Szenarien und Quellen abdecken. Beispiele hierfür sind:

  • Syslog
  • Common Event Format (CEF)
  • Trusted Automated eXchange of Indicator Information (TAXII) (für Threat Intelligence)
  • Azure
  • AWS-Services

Screenshot that shows a partial list of data connectors in the Microsoft Sentinel UI in the Azure portal.

Protokollaufbewahrung

Nachdem Ihre Daten in Microsoft Sentinel erfasst wurden, werden sie mit Log Analytics gespeichert. Zu den Vorteilen von Log Analytics gehört die Möglichkeit, KQL (Kusto Query Language) zum Abfragen Ihrer Daten zu verwenden. KQL ist eine umfangreiche Abfragesprache mit vielen Möglichkeiten zum Untersuchen Ihrer Daten und Gewinnen von Erkenntnissen.

Screenshot showing the Log Analytics interface in the Azure portal.

Arbeitsmappen

Sie können Arbeitsmappen verwenden, um Ihre Daten in Microsoft Sentinel zu visualisieren. Arbeitsmappen sind vergleichbar mit Dashboards. Jede Komponente im Dashboard wird unter Verwendung einer zugrunde liegenden KQL-Abfrage Ihrer Daten erstellt. Sie können die in Microsoft Sentinel integrierten Arbeitsmappen nutzen, und sie entsprechend Ihrer Anforderungen bearbeiten oder selbst Arbeitsmappen erstellen. Wenn Sie bereits Azure Monitor-Arbeitsmappen kennen, wird Ihnen dieses Feature bekannt vorkommen, da es sich um die Azure Sentinel-Implementierung von Azure Monitor-Arbeitsmappen handelt.

Screenshot showing an example of a workbook in Microsoft Sentinel.

Analysebenachrichtigungen

Derzeit haben Sie also Ihre Protokolle und einige Datenvisualisierungen. Jetzt wäre es sinnvoll, Ihre Daten proaktiv zu analysieren, damit Sie benachrichtigt werden, sobald etwas Verdächtiges passiert. Sie können in Ihren Sentinel-Arbeitsbereich integrierte Analysebenachrichtigungen aktivieren. Es gibt verschiedene Arten von Benachrichtigungen, von denen einige an Ihre Anforderungen angepasst werden können. Andere Benachrichtigungen basieren auf proprietären Machine Learning-Modellen von Microsoft. Sie können auch benutzerdefinierte geplante Benachrichtigungen von Grund auf erstellen.

Screenshot showing some of the built-in analytics alerts available in a Microsoft Sentinel workbook.

Bedrohungssuche

Wir werden uns in diesem Modul nicht ausführlich mit der Suche nach Bedrohungen beschäftigen. Wenn SOC-Analysten jedoch verdächtige Aktivitäten aufspüren müssen, gibt es dazu einige integrierte Suchabfragen. Analysten können auch eigene Abfragen erstellen. Sentinel ist auch in Azure Notebooks integriert. Geboten werden Beispielnotebooks für erweiterte Suchvorgänge, bei denen die volle Leistungsfähigkeit einer Programmiersprache beim Durchsuchen von Daten zum Tragen kommt.

Screenshot showing the threat-hunting interface in Microsoft Sentinel.

Incidents und Untersuchungen

Ein Incident wird erstellt, wenn eine aktivierte Warnung ausgelöst wird. In Microsoft Sentinel können Sie Standardaufgaben beim Incidentmanagement erledigen, wie z. B. das Ändern des Status oder das Zuweisen von Incidents zu Personen zur Untersuchung. Microsoft Sentinel bietet außerdem Untersuchungsfeatures, sodass Sie Incidents visuell untersuchen können, indem Entitäten Protokolldaten entlang einer Zeitskala zugeordnet werden.

Screenshot showing an incident-investigation graph within Microsoft Sentinel.

Automatisierungsplaybooks

Dank der Fähigkeit, automatisch auf Incidents zu reagieren, können Sie einige Ihrer sicherheitsrelevanten Vorgänge automatisieren und die Produktivität Ihres SOC steigern. Microsoft Sentinel ermöglicht Ihnen, automatisierte Workflows bzw. Playbooks als Reaktion auf Ereignisse zu erstellen. Diese Funktionalität kann für das Incidentmanagement sowie zur Anreicherung, Untersuchung oder Behebung verwendet werden. Diese Funktionen werden häufig als SOAR (Sicherheitsorchestrierung, -automatisierung und -reaktion) bezeichnet.

Screenshot showing a Microsoft Sentinel Automation, with the Create options highlighted.

Als SOC-Analyst beginnen Sie nun zu verstehen, wie Microsoft Sentinel Ihnen helfen kann, Ihre Ziele zu erreichen. Beispielsweise ist Folgendes möglich:

  • Erfassen von Daten aus Ihren Cloud- und lokalen Umgebungen
  • Anwenden von Analysen auf diese Daten
  • Verwalten und Untersuchen auftretender Incidents
  • Automatisches Reagieren mithilfe von Playbooks

Mit anderen Worten bietet Ihnen Microsoft Sentinel eine vollumfassende Lösung für Ihre sicherheitsrelevanten Vorgänge.