Implementieren von Microsoft Sentinel und Microsoft Defender XDR für Zero Trust
Dieser Leitfaden führt Sie durch den Prozess der Einrichtung von Microsoft eXtended Detection and Response (XDR)-Tools zusammen mit Microsoft Sentinel, um die Fähigkeit Ihres Unternehmens zu beschleunigen, auf Cybersecurity-Angriffe zu reagieren und diese zu beheben.
Microsoft Defender XDR ist eine XDR-Lösung, die Signal-, Bedrohungs- und Warnungsdaten aus Ihrer Microsoft 365-Umgebung automatisch sammelt, korreliert und analysiert.
Microsoft Sentinel ist eine Cloud-native Lösung, die Funktionen für die Verwaltung von Sicherheitsinformationen und Ereignissen (SIEM) sowie für die Orchestrierung, Automatisierung und Reaktion auf Sicherheitsvorfälle (SOAR) bietet. Gemeinsam bieten Microsoft Sentinel und Microsoft Defender XDR eine umfassende Lösung, die Organisationen bei der Verteidigung gegen moderne Angriffe unterstützt.
Dieser Leitfaden hilft Ihnen bei der Reifung Ihrer Zero Trust-Architektur, indem er die Prinzipien von Zero Trust auf folgende Weise abbildet.
| Null-Vertrauens-Prinzip (Zero-Trust-Prinzip) | Von |
|---|---|
| Explizit verifizieren | Microsoft Sentinel sammelt Daten aus der gesamten Umgebung, führt eine Analyse von Bedrohungen und Anomalien durch und kann mit Automatisierung reagieren. Microsoft Defender XDR bietet erweiterte Erkennung und Reaktion für Benutzer, Identitäten, Geräte, Apps und E-Mails. Risikobasierte Signale, die von Microsoft Defender XDR erfasst werden, können von Microsoft Sentinel verwendet werden, um Maßnahmen zu ergreifen. |
| Geringstmögliche Zugriffsberechtigungen verwenden | Microsoft Sentinel kann anomale Aktivitäten durch seine User Entity Behavioral Analytics (UEBA) Engine erkennen. Threat Intelligence mit Microsoft Sentinel kann Bedrohungsdaten von Microsoft oder Drittanbietern importieren, um neue, aufkommende Bedrohungen zu erkennen und zusätzlichen Kontext für Untersuchungen zu liefern. Microsoft Defender XDR umfasst Microsoft Entra ID Protection, sodass Benutzer basierend auf dem Risikograd der Identität blockiert werden können. Die Daten können zur weiteren Analyse und Automatisierung in Microsoft Sentinel eingespeist werden. |
| Angenommen, der Verstoß | Die Lösung überprüft die Umgebung kontinuierlich auf Bedrohungen und Sicherheitsrisiken. Microsoft Sentinel analysiert die gesammelten Daten und Verhaltenstrends von Entitäten, um verdächtige Aktivitäten, Anomalien und mehrstufige Bedrohungen im gesamten Unternehmen zu erkennen. Microsoft Sentinel verfügt über Visualisierungen von Arbeitsmappen, die Unternehmen dabei helfen können, ihre Umgebung zu sichern, wie z. B. die Arbeitsmappe Zero Trust. Microsoft Defender XDR und Sentinel können automatisierte Wartungsaufgaben implementieren (einschließlich automatisierter Untersuchungen, Geräteisolation und Datenquarantäne). Das Geräterisiko kann als Signal verwendet werden, das in Microsoft Entra Conditional Access eingespeist wird. |
Microsoft Sentinel und XDR-Architektur
Die folgende Abbildung zeigt, wie sich die XDR-Lösung von Microsoft nahtlos in Microsoft Sentinel integriert.
In diesem Diagramm:
- Erkenntnisse aus Signalen in Ihrer gesamten Organisation werden in Microsoft Defender XDR und Microsoft Defender for Cloud erfasst.
- Microsoft Defender XDR und Microsoft Defender for Cloud senden SIEM-Protokolldaten über Microsoft Sentinel-Connectors.
- SecOps-Teams können dann Bedrohungen analysieren und auf die Bedrohungen reagieren, die in den Microsoft Sentinel- und Microsoft Defender-Portalen identifiziert wurden.
- Microsoft Sentinel bietet Unterstützung für Multi-Cloud-Umgebungen und lässt sich mit Anwendungen von Drittanbietern und Partnern integrieren.
Implementieren von Microsoft Sentinel und Microsoft Defender XDR für Zero Trust
Microsoft Defender XDR ist eine XDR-Lösung, die Microsoft Sentinel ergänzt. Ein XDR sammelt Telemetrie-Rohdaten aus verschiedenen Diensten wie Cloud-Anwendungen, E-Mail-Sicherheit, Identitäts- und Zugriffsmanagement.
Mithilfe von künstlicher Intelligenz (KI) und maschinellem Lernen führt der XDR dann eine automatische Analyse, Untersuchung und Reaktion in Echtzeit durch. Die XDR-Lösung korreliert außerdem Sicherheitswarnungen zu größeren Vorfällen, wodurch Sicherheitsteams einen besseren Einblick in Angriffe erhalten, und bietet eine Priorisierung von Vorfällen, die Analysten hilft, den Risikograd der Bedrohung zu verstehen.
Mit Microsoft Sentinel können Sie über integrierte Connectoren und Industriestandards eine Verbindung zu vielen Sicherheitsquellen herstellen. Mit seiner KI können Sie mehrere Low-Fidelity-Signale aus verschiedenen Quellen miteinander korrelieren, um einen vollständigen Überblick über die Ransomware-Kill-Chain und priorisierte Warnmeldungen zu erhalten.
Nutzung von SIEM- und XDR-Funktionen
Dieser Abschnitt enthält ein typisches Angriffsszenario, das einen Phishingangriff umfasst. Anschließend wird erläutert, wie Sie mit Microsoft Sentinel und Microsoft Defender XDR auf den Incident reagieren können.
Allgemeine Angriffsreihenfolge
Das folgende Diagramm zeigt eine übliche Angriffsreihenfolge eines Phishing-Szenarios.
Die Abbildung zeigt auch die Microsoft-Sicherheitsprodukte, die verwendet werden, um jeden Angriffsschritt zu erkennen. Es wird veranschaulicht, wie Angriffssignale und SIEM-Daten an Microsoft Defender XDR und Microsoft Sentinel gesendet werden.
Hier finden Sie eine Zusammenfassung des Angriffs.
| Angriffsschritt | Ortungsdienst und Signalquelle | Verteidigungsmaßnahmen sind vorhanden |
|---|---|---|
| 1. Angreifer sendet Phishing-E-Mail | Microsoft Defender für Office 365 | Schützt Postfächer mit fortschrittlichen Anti-Phishing-Funktionen, die vor böswilligen Phishing-Angriffen auf der Basis von Identitätswechsel schützen können. |
| 2. Benutzer öffnet Anhang | Microsoft Defender für Office 365 | Die Funktion „Sichere Anhänge“ von Microsoft Defender für Office 365 öffnet Anhänge in einer isolierten Umgebung für eine zusätzliche Überprüfung auf Bedrohungen (Detonation). |
| 3. Der Anhang installiert Malware | Microsoft Defender für den Endpunkt | Schützt Endgeräte vor Malware mit seinen Schutzfunktionen der nächsten Generation, wie z. B. Cloud-basierter Schutz und verhaltensbasierter/heuristischer/Echtzeit-Virenschutz. |
| 4. Malware stiehlt Benutzeranmeldedaten | Microsoft Entra ID und Microsoft Entra ID Protection | Schützt Identitäten, indem es das Verhalten und die Aktivitäten von Benutzern überwacht, Seitwärtsbewegungen erkennt und bei anomalen Aktivitäten Alarm schlägt. |
| 5. Angreifer bewegt sich seitlich durch Microsoft 365 Anwendungen und Daten | Microsoft Defender für Cloud-Apps | Kann anomale Aktivitäten von Benutzern erkennen, die auf Cloud-Anwendungen zugreifen. |
| 6. Angreifer lädt sensible Dateien aus einem SharePoint-Ordner herunter | Microsoft Defender für Cloud-Apps | Kann Massendownload-Ereignisse von Dateien aus SharePoint erkennen und darauf reagieren. |
Reagieren auf einen Incident mithilfe von Microsoft Sentinel und Microsoft Defender XDR
Nachdem Sie nun erfahren haben, wie ein typischer Angriff abläuft, wird nun die Integration von Microsoft Sentinel und Microsoft Defender XDR für die Reaktion auf Incidents erläutert.
Dies ist der Prozess der Reaktion auf einen Incident mit Microsoft Defender XDR und Microsoft Sentinel:
- Sichten Sie den Vorfall im Microsoft Sentinel-Portal.
- Wechseln Sie zum Microsoft Defender-Portal, um Ihre Untersuchung zu starten.
- Setzen Sie die Untersuchung bei Bedarf im Microsoft Sentinel-Portal fort.
- Lösen Sie den Vorfall im Microsoft Sentinel-Portal.
Das folgende Diagramm zeigt den Prozess, beginnend mit der Erkennung und Triage in Microsoft Sentinel.
Weitere Informationen finden Sie unter Reagieren auf einen Incident mithilfe von Microsoft Sentinel und Microsoft Defender XDR.
Wichtige Funktionen
Um einen Zero-Trust-Ansatz bei der Verwaltung von Vorfällen zu implementieren, verwenden Sie diese Funktionen von Microsoft Sentinel und XDR.
| Fähigkeit oder Eigenschaft | Beschreibung | Produkt |
|---|---|---|
| Automated Investigation and Response (AIR) | AIR-Funktionen wurden entwickelt, um Warnungen zu untersuchen und sofortige Maßnahmen zum Beheben von Verletzungen zu ergreifen. AIR-Funktionen verringern den Umfang an Warnungen erheblich, sodass sich Sicherheitsexperten auf komplexere Bedrohungen und andere Initiativen mit hoher Wertschöpfung konzentrieren können. | Microsoft Defender XDR |
| Erweiterte Erkennung | Die erweiterte Bedrohungssuche ist ein abfragebasiertes Tool zur Bedrohungsermittlung, mit dem Sie Rohdaten für bis zu 30 Tage untersuchen können. Sie können Ereignisse in Ihrem Netzwerk proaktiv untersuchen, um Bedrohungsindikatoren und Entitäten aufzuspüren. Der flexible Zugriff auf die Daten ermöglicht eine uneingeschränkte Suche nach bekannten und potenziellen Bedrohungen. | Microsoft Defender XDR |
| Benutzerdefinierte Datei-Indikatoren | Verhindern Sie die weitere Ausbreitung eines Angriffs in Ihrem Unternehmen, indem Sie potenziell bösartige Dateien oder vermutete Malware verbieten. | Microsoft Defender XDR |
| Cloud Discovery: | Cloud Discovery analysiert die von Defender for Endpoint gesammelten Datenverkehrsprotokolle und gleicht die identifizierten Apps mit dem Cloud-App-Katalog ab, um Informationen zur Compliance und Sicherheit zu liefern. | Microsoft Defender für Cloud-Apps |
| Benutzerdefinierte Netzwerkindikatoren | Durch die Erstellung von Indikatoren für IP-Adressen und URLs oder Domänen können Sie nun IP-Adressen, URLs oder Domänen auf der Grundlage Ihrer eigenen Threat Intelligence zulassen oder blockieren. | Microsoft Defender XDR |
| Endpunkt-Erkennung und Reaktion (EDR) Block | Bietet zusätzlichen Schutz vor bösartigen Artefakten, wenn Microsoft Defender Antivirus (MDAV) nicht das primäre Antivirenprodukt ist und im passiven Modus ausgeführt wird. EDR im Blockmodus arbeitet im Hintergrund, um bösartige Artefakte zu beseitigen, die von EDR-Funktionen entdeckt wurden. | Microsoft Defender XDR |
| Reaktionsfähigkeit des Geräts | Reagieren Sie schnell auf entdeckte Angriffe, indem Sie Geräte isolieren oder ein Untersuchungspaket zusammenstellen. | Microsoft Defender XDR |
| Live Response | Live Response ermöglicht Sicherheitsteams den sofortigen Zugriff auf ein Gerät (auch als Computer bezeichnet) über eine Remoteshellverbindung. Dadurch haben Sie die Möglichkeit, eingehende Untersuchungen durchzuführen und sofortige Antwortaktionen auszuführen, um erkannte Bedrohungen in Echtzeit einzudämmen. | Microsoft Defender XDR |
| Sichere Cloud-Anwendungen | Eine DevSecOps-Lösung (Development, Security, Operations), die die Sicherheitsverwaltung auf Codeebene in Umgebungen mit mehreren Clouds und mehreren Pipelines vereint. | Microsoft Defender für Cloud |
| Verbessern Sie Ihren Sicherheitsstatus | Eine CSPM-Lösung (Cloud Security Posture Management), die Aktionen zeigt, mit denen Sie Sicherheitsverletzungen verhindern können. | Microsoft Defender für Cloud |
| Schützen von Cloudworkloads | Eine Plattform für den Cloudworkloadschutz (Cloud Workload Protection Platform, CWPP) mit spezifischem Schutz für Server, Container, Speicher, Datenbanken und andere Workloads. | Microsoft Defender für Cloud |
| Benutzer- und Entitätsverhaltensanalyse (UEBA) | Analysiert das Verhalten von Organisationseinheiten wie Benutzern, Hosts, IP-Adressen und Anwendungen) | Microsoft Sentinel |
| Fusion | Ein Modul für Korrelationen, das auf skalierbaren Algorithmen für maschinelles Lernen basiert. Erkennt automatisch mehrstufige Angriffe, die auch als Advanced Persistent Threats (APT) bekannt sind, indem es Kombinationen von anomalem Verhalten und verdächtigen Aktivitäten identifiziert, die auf verschiedenen Stufen der Kill Chain beobachtet werden. | Microsoft Sentinel |
| Threat Intelligence | Nutzen Sie Drittanbieter von Microsoft, um Daten anzureichern und zusätzlichen Kontext zu Aktivitäten, Warnungen und Protokollen in Ihrer Umgebung zu liefern. | Microsoft Sentinel |
| Automatisierung | Automatisierungsregeln sind eine Möglichkeit, die Automatisierung in Microsoft Sentinel zentral zu verwalten, indem Sie eine kleine Reihe von Regeln definieren und koordinieren können, die in verschiedenen Szenarien angewendet werden können. | Microsoft Sentinel |
| Anomalie-Regeln | Vorlagen für Anomalieregel verwenden Machine Learning, um bestimmte Arten von anomalen Verhaltensweisen zu erkennen. | Microsoft Sentinel |
| Geplante Abfragen | Eingebaute, von Microsoft-Sicherheitsexperten geschriebene Regeln, die die von Sentinel gesammelten Protokolle nach verdächtigen Aktivitätsketten und bekannten Bedrohungen durchsuchen. | Microsoft Sentinel |
| Fast-Echtzeit (NRT) Regeln | NRT-Regeln sind eingeschränkte geplante Regeln, die einmal pro Minute ausgeführt werden sollen, um Ihnen so schnell wie möglich Informationen zur Verfügung zu stellen. | Microsoft Sentinel |
| Hunting | Um Sicherheitsanalysten dabei zu unterstützen, proaktiv nach neuen Anomalien zu suchen, die von Ihren Sicherheits-Apps oder auch Ohren Regeln zur geplanten Analyse nicht erkannt wurden, werden Sie von den in Microsoft Sentinel integrierten Bedrohungssuchabfragen dazu geführt, die richtigen Fragen zu stellen, um Probleme in den Daten zu finden, die bereits in Ihrem Netzwerk vorhanden sind. | Microsoft Sentinel |
| Microsoft Defender XDR-Connector | Der Microsoft Defender XDR-Connector synchronisiert Protokolle und Incidents mit Microsoft Sentinel. | Microsoft Defender XDR und Microsoft Sentinel |
| Datenconnectors | Ermöglicht das Einlesen von Daten zur Analyse in Microsoft Sentinel. | Microsoft Sentinel |
| Content-Hub-Lösung –Zero Trust (TIC 3.0) | Zero Trust (TIC 3.0) umfasst eine Arbeitsmappe, Analyseregeln und ein Playbook, die eine automatisierte Visualisierung der Zero Trust-Prinzipien mit Querverweisen zum Trust Internet Connections-Framework bieten und Unternehmen dabei helfen, Konfigurationen im Laufe der Zeit zu überwachen. | Microsoft Sentinel |
| Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR) | Der Einsatz von Automatisierungsregeln und Playbooks als Reaktion auf Sicherheitsbedrohungen erhöht die Effektivität Ihres SOC und spart Ihnen Zeit und Ressourcen. | Microsoft Sentinel |
Was ist in dieser Lösung enthalten?
Diese Lösung führt Sie schrittweise durch die Implementierung von Microsoft Sentinel und XDR, damit Ihr Sicherheitsteam Vorfälle mit einem Zero-Trust-Ansatz effektiv beheben kann.
Empfohlene Schulung
| Training | Verbinden von Microsoft Defender XDR mit Microsoft Sentinel |
|---|---|
|
Erfahren Sie mehr über die Konfigurationsoptionen und Daten, die von Microsoft Sentinel Connectors für Microsoft Defender XDR bereitgestellt werden. |
Nächste Schritte
Führen Sie diese Schritte aus, um Microsoft Sentinel und XDR für einen Zero Trust-Ansatz zu implementieren:
- Einrichten Ihrer XDR-Tools
- Architektur Ihres Microsoft Sentinel-Arbeitsbereichs
- Erfassen von Datenquellen
- Reaktion auf einen Vorfall
Lesen Sie auch diese zusätzlichen Artikel zur Anwendung der Zero Trust-Prinzipien auf Azure:
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für