Erkennen und Reagieren auf Sicherheitsbedrohungen mithilfe von Azure Sentinel

Abgeschlossen

Für die Sicherheitsverwaltung von sehr großen Umgebungen kann ein dediziertes SIEM-System (Security Information and Event Management) von Vorteil sein. Ein SIEM-System aggregiert Sicherheitsdaten aus vielen verschiedenen Quellen (sofern diese Quellen ein offenes Standardprotokollierungsformat unterstützen). Es bietet außerdem zusätzliche Funktionen für die Bedrohungserkennung und -bekämpfung.

Azure Sentinel ist das cloudbasierte SIEM-System von Microsoft. Dabei werden intelligente Sicherheits- und Bedrohungsanalysen verwendet.

Funktionen von Azure Sentinel

Azure Sentinel ermöglicht es Ihnen:

  • Clouddaten im großen Stil zu erfassen

    Sie können für alle Benutzer, Geräte, Anwendungen und Infrastrukturen Daten erfassen, sowohl lokal als auch in mehreren Clouds.

  • zuvor nicht erkannte Bedrohungen zu ermitteln

    Mithilfe der umfassenden Analysedaten und der Threat Intelligence von Microsoft lässt sich die Anzahl der falsch-positiven Ergebnisse reduzieren.

  • Bedrohungen mithilfe von künstlicher Intelligenz zu untersuchen

    Sie können verdächtige Aktivitäten im großen Stil untersuchen und dabei auf die jahrelange Erfahrung im Bereich „Cybersicherheit“ bauen, die Microsoft bietet.

  • schnell auf Incidents zu reagieren

    Azure Sentinel bietet Ihnen eine integrierte Orchestrierung und Automatisierung für häufige Aufgaben.

Verbinden der Datenquellen

Tailwind Traders beschließt, sich mit den Funktionen von Azure Sentinel vertraut zu machen. Zuerst identifiziert das Unternehmen seine Datenquellen und stellt eine Verbindung mit ihnen her.

Azure Sentinel unterstützt viele verschiedene Datenquellen, die der Dienst auf Sicherheitsereignisse analysieren kann. Diese Verbindungen werden von integrierten Connectors oder branchenüblichen Protokollformaten und APIs verarbeitet.

  • Verbinden von Microsoft-Lösungen

    Connectors bieten Echtzeitintegration für Dienste wie die Microsoft Threat Protection-Lösungen, Microsoft 365-Quellen (einschließlich Office 365), Azure Active Directory und Windows Defender Firewall.

  • Verbinden von anderen Diensten und Lösungen

    Connectors sind für gängige Drittanbieterdienste und -lösungen verfügbar, einschließlich AWS CloudTrail, Citrix Analytics (Security), Sophos XG Firewall, VMware Carbon Black Cloud und Okta SSO.

  • Verbinden von branchenüblichen Datenquellen

    Azure Sentinel unterstützt Daten aus anderen Quellen, die den Messagingstandard „Common Event Format“ (CEF), Syslog oder die REST-API verwenden.

Erkennen von Bedrohungen

Tailwind Traders muss benachrichtigt werden, wenn etwas Verdächtiges geschieht. Das Unternehmen entscheidet sich sowohl für integrierte Analysen als auch für benutzerdefinierte Regeln, um Bedrohungen zu erkennen.

Für integrierte Analysen werden Vorlagen verwendet, die von den Sicherheitsexperten und Analysten bei Microsoft anhand von bekannten Bedrohungen, häufigen Angriffsvektoren und Eskalationsketten für verdächtige Aktivitäten entworfen wurden. Diese Vorlagen können angepasst werden und suchen in der gesamten Umgebung nach verdächtigen Aktivitäten. Einige Vorlagen verwenden Machine-Learning-Verhaltensanalysen, die auf den proprietären Algorithmen von Microsoft basieren.

Benutzerdefinierte Analysen bestehen aus Regeln, die Sie selbst erstellen, um in Ihrer Umgebung nach bestimmten Kriterien zu suchen. Sie können die Anzahl der Ergebnisse, die von der Abfrage generiert werden, (auf Grundlage früherer Protokollereignisse) in einer Vorschau anzeigen und einen Zeitplan für die Abfrageausführung festlegen. Sie können auch einen Warnungsschwellenwert festlegen.

Untersuchen und Reagieren

Wenn Azure Sentinel verdächtige Ereignisse erkennt, kann Tailwind Traders bestimmte Warnungen oder Incidents (eine Gruppe verwandter Warnungen) untersuchen. Mit dem Untersuchungsgraphen kann das Unternehmen Informationen zu den Entitäten überprüfen, die direkt mit der Warnung in Zusammenhang stehen, sowie häufige Auswertungsabfragen anzeigen und bei der Untersuchung zurate ziehen.

Das folgende Beispiel zeigt, wie ein Untersuchungsgraph in Azure Sentinel aussieht:

Beispielgraph zur Untersuchung von Incidents in Azure Sentinel.

Darüber hinaus automatisiert das Unternehmen die Reaktion auf Bedrohungen mithilfe von Azure Monitor-Workbooks. Tailwind Traders kann beispielsweise eine Warnung für böswillige IP-Adressen festlegen, die auf das Netzwerk zugreifen, und ein Workbook erstellen, das die folgenden Schritte ausführt:

  1. Wenn die Warnung ausgelöst wird, wird ein Ticket im IT-Ticketsystem eröffnet.
  2. Eine Nachricht wird an den Sicherheitskanal in Microsoft Teams oder Slack gesendet, um sicherzustellen, dass die Sicherheitsanalysten über den Incident Bescheid wissen.
  3. Alle Informationen in der Warnung werden an den leitenden Netzwerkadministrator und den Sicherheitsadministrator gesendet. Die E-Mail-Nachricht enthält zwei Optionsschaltflächen für Benutzer: Sperren oder Ignorieren.

Wenn ein Administrator auf Sperren klickt, wird die IP-Adresse in der Firewall blockiert, und der Benutzer wird in Azure Active Directory deaktiviert. Wenn ein Administrator auf Ignorieren klickt, werden die Warnung in Azure Sentinel und der Incident im IT-Ticketsystem geschlossen.

Die Arbeitsmappe wird weiterhin ausgeführt, nachdem es eine Antwort von den Administratoren empfangen hat.

Arbeitsmappen können manuell oder automatisch ausgeführt werden, wenn eine Warnung durch eine Regel ausgelöst wird.