Share via

Transparenz, Automatisierung und Orchestrierung mit Zero Trust

  • Artikel

Eine der signifikanten Veränderungen in der Perspektive, die ein Kennzeichen eines Zero-Trust-Sicherheits-Frameworks darstellt, ist die Abkehr von Trust-by-Default hin zu Trust-by-Exception. Sie brauchen jedoch eine zuverlässigen Methode, um Vertrauen zu schaffen, sobald Vertrauen erfordert wird. Da Sie nicht mehr davon ausgehen können, dass Anforderungen vertrauenswürdig sind, ist die Einrichtung eines Mittels zur Bescheinigung der Vertrauenswürdigkeit der Anforderung entscheidend für den Nachweis der Vertrauenswürdigkeit zum Zeitpunkt der Anforderung. Dieser Nachweis erfordert die Möglichkeit, Einblick in die Aktivitäten in und um die Anforderung zu erhalten.

In unseren anderen Zero Trust-Leitfäden haben wir den Ansatz zur Implementierung eines durchgängigen Zero Trust-Ansatzes über Identitäten, Endpunkte und Geräte, Daten, Apps, Infrastruktur, und Netzwerk hinweg definiert. Diese Aktivitäten erhöhen die Transparenz, sodass Sie über eine bessere Datengrundlage für Vertrauensentscheidungen verfügen. Durch die Einführung eines Zero Trust Ansatzes in diesen sechs Bereichen erhöhen Sie jedoch notwendigerweise die Anzahl der Vorfälle, die VON SOC-Analysten (Security Operation Centers) reduziert werden müssen. Ihre Analysten haben mehr zu tun als je zuvor, und das zu einem Zeitpunkt, an dem bereits ein Mangel an Talenten besteht. Dies kann zu chronischer Alarmmüdigkeit führen sowie dazu, dass Analysten kritische Alarme verpassen.

Schema der integrierten Funktionen zum Verwalten von Bedrohungen.

Da durch jeden dieser Bereiche eigene relevante Warnungen generiert werden, benötigen wir eine integrierte Funktion für die Verwaltung des resultierenden Datenaufkommens, um den Schutz vor Bedrohungen zu verbessern und die Vertrauenswürdigkeit von Transaktionen besser überprüfen zu können.

Sie möchten über die folgenden Möglichkeiten verfügen:

  • Bedrohungen und Schwachstellen zu erkennen.
  • Stellen Sie Untersuchungen an.
  • Reagieren.
  • Suchen.
  • Zusätzlichen Kontext anhand Bedrohungsanalysen bereitzustellen.
  • Auf Schwachstellen zugreifen.
  • Unterstützung von Weltklasse-Experten erhalten
  • Ereignisse zu verhindern oder zu sperren, die über die Säulen hinweg stattfinden.

Das Verwalten von Bedrohungen umfasst sowohl die reaktive als auch proaktive Erkennung und erfordert Tools, die beide unterstützen.

Die reaktive Erkennung ist, wenn Vorfälle von einer der sechs Säulen ausgelöst werden, die untersucht werden können. Zusätzlich wird ein Management-Produkt wie ein SIEM wahrscheinlich eine weitere Analyseschicht unterstützen, die Daten anreichert und korreliert, was dazu führt, dass ein Vorfall als schlecht markiert wird. Der nächste Schritt wäre dann die Untersuchung, um die vollständige Geschichte des Angriffs zu erhalten.

Die Proaktive Erkennung ist, wenn Sie die Suche auf die Daten anwenden, um eine gefährdete Hypothese nachzuweisen. Die Bedrohungssuche beginnt mit der Annahme, dass Sie einen Verstoß erfahren haben. Sie suchen nach dem Nachweis, dass tatsächlich ein Verstoß vorliegt.

Die Bedrohungssuche beginnt mit einer Hypothese, die auf aktuellen Bedrohungen basiert, z. B. COVID-19-Phishingangriffe. Die Analysten beginnen mit dieser hypothetischen Bedrohung, identifizieren die Schlüsselindikatoren für eine Gefährdung und durchsuchen die Daten, um zu ermitteln, ob ein Nachweis dafür vorliegt, dass die Umgebung gefährdet wurde. Wenn Indikatoren vorliegen, können Such-Szenarien möglicherweise zu Analysen führen, welche die Organisationen benachrichtigen, wenn die bestimmten Indikatoren erneut auftreten.

Sobald ein Vorfall entdeckt wird, müssen Sie ihn auf jeden Fall untersuchen, um die vollständige Geschichte des Angriffs zu erstellen. Was hat der Benutzer noch unternommen? Welche anderen Systeme waren beteiligt? Welche ausführbaren Dateien wurden ausgeführt?

Wenn eine Untersuchung zu umsetzbaren Erkenntnissen führt, können Sie Korrekturschritte ausführen. Wenn z. B. eine Untersuchung Lücken in einer Zero Trust-Bereitstellung aufdeckt, können Richtlinien geändert werden, um diese Lücken zu beheben und zukünftige unerwünschte Vorfälle zu verhindern. Nach Möglichkeit ist es wünschenswert, Korrekturschritte zu automatisieren, da dies die Zeit verkürzt, die ein SOC-Analyst benötigt, um die Bedrohung zu beheben und zum nächsten Vorfall weiter zu schreiten.

Eine weitere wichtige Komponente bei der Bewertung von Bedrohungen ist der Abgleich bekannter Bedrohungsdaten mit den eingelesenen Daten. Wenn eine IP, ein Hash, eine URL, eine Datei, eine ausführbare Datei usw., als schädlich bekannt sind, können sie identifiziert, untersucht und behoben werden.

In der Infrastruktur-Säule wurde Zeit für die Behebung von Schwachstellen aufgewendet. Wenn ein System als anfällig bekannt ist und eine Bedrohung diese Schwachstelle ausnutzte, kann dies erkannt, untersucht und behoben werden.

Um diese Taktiken zur Bewältigung von Bedrohungen zu anzuwenden, sollten Sie über eine zentrale Konsole verfügen, die es SOC-Administratoren ermöglicht, Bedrohungen zu verstehen, zu untersuchen, zu beheben, zu suchen, Bedrohungsdaten zu nutzen, bekannte Schwachstellen zu erkennen, sich auf Bedrohungsexperten zu stützen und Bedrohungen in jeder der sechs Säulen zu sperren. Die Tools, die zur Unterstützung dieser Phasen erforderlich sind, funktionieren am besten, wenn sie zu einem einzelnen Workflow zusammengeführt werden, was eine nahtlose Erfahrung bietet und die Effektivität des SOC-Analysten erhöht.

Security Operation Center stellen häufig eine Kombination aus SIEM- und SOAR-Technologien bereit zum Sammeln, Erkennen, Untersuchen und Reagieren auf Bedrohungen. Microsoft bietet Microsoft Sentinel als SIEM-as-a-Service-Angebot an. Microsoft Sentinel erfasst alle Daten von Microsoft Defender for Identity und Drittanbietern.

Microsoft Threat Protection (MTP), ein wichtiger Feed in Microsoft Sentinel, bietet eine einheitliche Enterprise Defense Suite, die kontextorientierten Schutz, Erkennung und Reaktion für alle Microsoft 365-Komponenten bietet. Indem Sie kontextbewusst und koordiniert sind, können Kunden, die Microsoft 365 verwenden, Transparenz und Schutz über Endpunkte, Tools für die Zusammenarbeit, Identitäten und Anwendungen hinweg erlangen.

Anhand dieser Hierarchie ermöglichen wir es unseren Kunden, ihren Fokus zu maximieren. Anhand der kontextorientierten und automatisierten Korrekturmaßnahmen, kann MTP viele Bedrohungen erkennen und beseitigen, ohne bereits überlastete SOC-Mitarbeitern mit zusätzlichen Warnungsermüdungen belasten zu müssen. Die erweiterte Suche innerhalb von MTP bringt diesen Kontext in die Suche ein, um sich auf viele wichtige Angriffspunkte zu konzentrieren. Durch das Hunting und die Orchestrierung für das gesamte Ökosystem mit Microsoft Sentinel erhalten Sie relevante Daten zu allen Aspekten einer heterogenen Umgebung und minimieren gleichzeitig die kognitive Überlastung der zuständigen Mitarbeiter*innen.

Ziele bzgl. der Zero Trust Bereitstellungsziele bzgl. der Transparenz, Automatisierung und Orchestrierung

Bei der Implementierung eines End-to-End-Zero-Trust-Frameworks für die Transparenz, Automatisierung und Orchestrierung empfehlen wir Ihnen, sich zunächst auf diese anfänglichen Bereitstellungsziele zu konzentrieren:

Listensymbol mit einem Häkchen

I.Transparenz erstellen.

II.Automatisierung aktivieren.

Konzentrieren Sie sich nach Abschluss dieser Schritte auf die folgenden zusätzlichen Bereitstellungsziele:

Listensymbol mit zwei Häkchen

III.Zusätzliche Schutz- und Erkennungssteuerelemente aktivieren.

Zero Trust-Bereitstellung-Anleitung für die Transparenz, Automatisierung und Orchestrierung

Diese Anleitung führt Sie durch die Schritte, die erforderlich sind, um die Transparenz, Automatisierung und Orchestrierung gemäß den Prinzipien eines Zero Trust-Sicherheitsframeworks zu verwalten.




Checklistensymbol mit einem Häkchen

Anfängliche Bereitstellungsziele

I. Erstellen Sie Transparenz

Der erste Schritt besteht darin, die Transparenz anhand des Aktivierens von Microsoft Threat Protection (MTP) zu erstellen.

Führen Sie folgende Schritte aus:

  1. Registrieren Sie sich für eine der Microsoft Threat Protection Arbeitslasten.
  2. Aktivieren Sie die Arbeitslasten, und erstellen Sie die Konnektivität.
  3. Konfigurieren Sie die Erkennung auf Ihren Geräten und der Infrastruktur, um sofortige Einblicke in Aktivitäten zu ermöglichen, die in der Umgebung stattfinden. Sie erhalten dadurch erhalten den allerwichtigsten „Wählton", um den Fluss kritischer Daten zu starten.
  4. Aktivieren Sie Microsoft Threat Protection, um die arbeitslastübergreifende Transparenz und Vorfallserkennung zu erhalten.

II. Aktivieren Sie die Automatisierung

Der nächste wichtige Schritt besteht darin, die Automatisierung zu aktivieren, sobald Sie die Transparenz erstellt haben.

Automatisierte Untersuchungen und Fehlerbehebung

Mit Microsoft Threat Protection haben wir sowohl Untersuchungen als auch Fehlerbehebungsmaßnahmen automatisiert, die im Wesentlichen eine zusätzliche SOC-Analyse der Ebene 1 bieten.

Die Automatisierte Untersuchung und Fehlerbehebung (AIR) kann schrittweise aktiviert werden, sodass Sie mit den ausgeführten Aktionen einen Komfortgrad entwickeln können.

Folgen Sie diesen Schritten:

  1. Aktivieren sie AIR für eine Testgruppe.
  2. Analysieren Sie die Untersuchungsschritte und Antwortaktionen.
  3. Gehen Sie schrittweise zur automatischen Freigabe für alle Geräte über, um die Zeit bis zur Erkennung und Reaktion zu verkürzen.

Um einen Einblick in die Incidents zu erhalten, die infolge der Implementierung eines Zero-Trust-Modells entstehen, ist es wichtig, MTP, andere Microsoft-Datenconnectors und relevante Produkte von Drittanbietern mit Microsoft Sentinel zu verknüpfen. So erhalten Sie eine zentralisierte Plattform für die Untersuchung von Incidents und die entsprechende Reaktion auf diese.

Als Teil des Datenanbindungsprozesses können relevante Analysen aktiviert werden, um Vorfälle auszulösen, und es können Arbeitsmappen für eine grafische Darstellung der Daten im Zeitverlauf erstellt werden.

Obwohl maschinelles Lernen und Fusionsanalysen standardmäßig zur Verfügung stehen, ist es auch von Vorteil, Threat-Intelligence-Daten in Microsoft Sentinel zu erfassen, um Ereignisse zu ermitteln, die bekanntermaßen mit Angriffen in Verbindung stehen.




Checklistensymbol mit zwei Häkchen

Zusätzliche Bereitstellungsziele

III. Aktivieren Sie zusätzliche Schutz- und Erkennungssteuerelemente

Die Aktivierung zusätzlicher Steuerelemente verbessert das Signal, das bei MTP und Sentinel eingeht, um Ihre Transparenz und die Fähigkeit zur Orchestrierung von Reaktionen zu verbessern.

Die Steuerungen zur Reduzierung der Angriffsfläche stellen eine solche Möglichkeit dar. Diese Schutzmaßnahmen sperren nicht nur bestimmte Aktivitäten, die am ehesten mit Malware in Verbindung gebracht werden, sondern bieten auch Aufschluss über Versuche, bestimmte Ansätze zu verwenden, was dazu beitragen kann, Angreifer, die diese Techniken nutzen, früher zu erkennen.

In diesem Leitfaden behandelte Produkte

Microsoft Azure

Microsoft Defender for Identity

Microsoft Sentinel

Microsoft 365

Microsoft Threat Protection



Die Leitfadenreihe für die Zero Trust-Bereitstellung

Symbol für die Einführung

Symbol für Identität

Symbol für Endpunkte

Symbol für Anwendungen

Symbol für Daten

Symbol für Infrastruktur

Symbol für Netzwerke

Symbol für Transparenz, Automatisierung und Orchestrierung