Bearbeiten

Freigeben über

Automatisierte Reaktionen von Microsoft Sentinel

Microsoft Sentinel
Microsoft Entra ID
Azure Logic Apps

Lösungsmöglichkeiten

In diesem Artikel ist ein Lösungsvorschlag beschrieben. Ihr Cloudarchitekt kann diesen Leitfaden verwenden, um die Hauptkomponenten einer typischen Implementierung dieser Architektur zu visualisieren. Verwenden Sie diesen Artikel als Ausgangspunkt, um eine gut durchdachte Lösung zu entwerfen, die den spezifischen Anforderungen Ihrer Workload entspricht.

Microsoft Sentinel ist eine skalierbare cloudbasierte Lösung für Sicherheitsinformationen und Ereignisverwaltung (SIEM) und Sicherheits-Orchestrierung, Automatisierung und Reaktion (SOAR). Es bietet intelligente Sicherheitsanalysen für Organisationen aller Größen und bietet die folgenden Funktionen und vieles mehr:

  • Erkennung von Angriffen auf Unternehmen
  • Proaktives Hunting
  • Automatisierte Reaktion auf Vorfälle

Die Bedrohungsantwort in Microsoft Sentinel wird über Playbooks verwaltet. Wenn ein Playbook durch eine Warnung oder einen Vorfall ausgelöst wird, führt ein Playbook eine Reihe automatisierter Aktionen aus, um die Bedrohung zu bekämpfen. Sie erstellen diese Playbooks mithilfe von Azure Logic Apps.

Microsoft Sentinel bietet Hunderte von einsatzbereiten Playbooks, einschließlich Playbooks für die folgenden Szenarien:

  • Blockieren von Microsoft Entra-Benutzer*innen
  • Blockieren eines Microsoft Entra-Benutzers basierend auf Ablehnung per E-Mail
  • Veröffentlichen einer Nachricht im Microsoft Teams-Kanal über einen Vorfall oder eine Warnung
  • Veröffentlichen einer Nachricht in Slack
  • Senden einer E-Mail mit Vorfall- oder Warnungsdetails
  • Senden einer E-Mail mit einem formatierten Vorfallbericht
  • Ermitteln, ob ein Microsoft Entra-Benutzer gefährdet ist
  • Senden einer adaptiven Karte über Microsoft Teams, um zu bestimmen, ob ein Benutzer kompromittiert ist
  • Isolieren eines Endpunkts über Microsoft Defender für Endpunkt

Dieser Artikel enthält ein Beispiel für die Implementierung eines Playbook, das auf eine Bedrohung reagiert, indem ein Microsoft Entra-Benutzer blockiert wird, der durch verdächtige Aktivitäten kompromittiert wird.

Mögliche Anwendungsfälle

Die in diesem Artikel beschriebenen Techniken gelten, wenn Sie eine automatische Reaktion auf eine erkennbare Bedingung implementieren müssen.

Aufbau

Microsoft Sentinel-Architektur mit Playbooks.

Laden Sie eine Visio-Datei dieser Architektur herunter.

Workflow

Dieser Workflow veranschaulicht die Schritte zum Bereitstellen des Playbooks. Vergewissern Sie sich, dass die Voraussetzungen erfüllt sind, bevor Sie beginnen. Sie müssen beispielsweise eine*n Microsoft Entra-Benutzer*in auswählen.

  1. Führen Sie die Schritte in Senden von Protokollen an Azure Monitor aus, um Microsoft Entra ID so zu konfigurieren, dass Überwachungsprotokolle an den Log Analytics-Arbeitsbereich gesendet werden, der mit Microsoft Sentinel verwendet wird.

    Hinweis

    Die Überwachungsprotokolle werden in dieser Lösung nicht genutzt. Sie können sie aber verwenden, um zu ermitteln, was passiert, wenn der Benutzer blockiert wird.

  2. Microsoft Entra ID Protection generiert die Warnungen, die die Ausführung des Playbooks für die Bedrohungsreaktion auslösen. Damit Microsoft Sentinel die Warnungen erfasst, navigieren Sie zu Ihrer Microsoft Sentinel-Instanz, und wählen Sie Datenconnectors aus. Suchen Sie nach Microsoft Entra ID Protection und aktivieren Sie die Sammlung von Warnungen. Weitere Informationen zu Identity Protection finden Sie unter Was ist Identity Protection?.

  3. Installieren Sie den Tor-Browser auf einem Computer oder virtuellen Computer (virtual machine, VM), den Sie verwenden können, ohne Ihre IT-Sicherheit zu gefährden.

  4. Verwenden Sie den Tor-Browser, um sich anonym bei "Meine Apps" anzumelden, als der Benutzer, den Sie für diese Lösung ausgewählt haben. Anweisungen zur Verwendung des Tor-Browsers zum Simulieren anonymer IP-Adressen finden Sie im Abschnitt zu anonymen IP-Adressen.

  5. Microsoft Entra ID authentifiziert den*die Benutzer*in.

  6. Microsoft Entra ID Protection erkennt, dass der Benutzer einen ToR-Browser verwendet hat, um sich anonym anzumelden. Diese Art der Anmeldung ist verdächtige Aktivität, die den Benutzer gefährdet. Identity Protection sendet eine Warnung an Microsoft Sentinel.

  7. Konfigurieren Sie Microsoft Sentinel, um aus der Warnung einen Incident zu erstellen. Entsprechende Informationen finden Sie unter Automatisches Erstellen von Incidents aus Microsoft-Sicherheitswarnungen. Die zu verwendende Microsoft-Vorlage für Sicherheitsanalyseregeln ist Erstellen von Incidents basierend auf Microsoft Entra ID Protection-Warnungen.

  8. Wenn Microsoft Sentinel einen Incident auslöst, reagiert das Playbook mit Aktionen, die den Benutzer blockieren.

Komponenten

  • Microsoft Sentinel ist eine cloudnative SIEM- und SOAR-Lösung. Sie verwendet erweiterte KI- und Sicherheitsanalysen, um Bedrohungen im gesamten Unternehmen zu erkennen und darauf zu reagieren. In Microsoft Sentinel sind zahlreiche Playbooks verfügbar, die Sie verwenden können, um Ihre Reaktionen zu automatisieren und Ihr System zu schützen.
  • Microsoft Entra ID ist ein cloudbasierter Verzeichnis- und Identitätsverwaltungsdienst, der zentrale Verzeichnisdienste, Anwendungszugriffsverwaltung und Identitätsschutz in einer einzigen Lösung kombiniert. Es kann mit lokalen Verzeichnissen synchronisiert werden. Der Identitätsdienst ermöglicht zum Schutz vor Angriffen auf die Cybersicherheit einmaliges Anmelden, Multi-Faktor-Authentifizierung und bedingten Zugriff. Die in diesem Artikel gezeigte Lösung verwendet Microsoft Entra Identity Protection, um verdächtige Aktivitäten von Benutzer*innen zu erkennen.
  • Logic Apps ist ein serverloser Clouddienst zum Erstellen und Ausführen automatisierter Workflows, die Apps, Daten, Dienste und Systeme integrieren. Entwickler können einen visuellen Designer verwenden, um Workflows für allgemeine Aufgaben zu planen und zu orchestrieren. Logic Apps enthält Connectors für viele beliebte Clouddienste, lokale Produkte und andere SaaS-Anwendungen (Software-as-a-Service). In dieser Lösung führt Logic Apps das Playbook für die Bedrohungsreaktion aus.

Überlegungen

  • Das Azure Well-Architected Framework umfasst verschiedene Grundsätze, mit denen die Qualität einer Workload verbessert werden kann. Weitere Informationen finden Sie unter Microsoft Azure Well-Architected Framework.
  • Microsoft Sentinel umfasst mehr als 50 einsatzbereite Playbooks. Sie finden sie auf der Registerkarte mit den Playbook-Vorlagen der Seite Microsoft Sentinel | Automation für Ihren Arbeitsbereich.
  • In GitHub finden Sie eine Vielzahl von Microsoft Sentinel-Playbooks, die von der Community erstellt werden.

Bereitstellen dieses Szenarios

Sie können dieses Szenario mithilfe der Schritte im Workflow bereitstellen. Stellen Sie jedoch zunächst sicher, dass die Voraussetzungen erfüllt sind.

Voraussetzungen

Vorbereiten der Software und Auswählen eines Testbenutzers

Um das Playbook zu implementieren und zu testen, benötigen Sie Azure und Microsoft Sentinel zusammen mit den folgenden Komponenten:

  • Eine Microsoft Entra ID Protection-Lizenz (Premium P2, E3 oder E5).
  • Eine*n Microsoft Entra-Benutzer*in Sie können entweder einen vorhandenen Benutzer verwenden oder einen neuen Benutzer erstellen. Falls Sie einen neuen Benutzer erstellen, können Sie ihn wieder löschen, wenn Sie ihn nicht mehr benötigen.
  • Ein zum Ausführen eines Tor-Browsers geeigneter Computer oder virtueller Computer. Sie verwenden den Browser, um sich beim Meine Apps Portal als Microsoft Entra-Benutzer anzumelden.

Bereitstellen des Playbooks

Gehen Sie wie folgt vor, um ein Microsoft Sentinel-Playbook bereitzustellen:

  • Wenn Sie keinen Log Analytics-Arbeitsbereich haben, der für diese Übung verwendet werden kann, müssen Sie wie folgt einen neuen Arbeitsbereich erstellen:
    • Navigieren Sie zur Hauptseite von Microsoft Sentinel, und wählen Sie + Erstellen aus, um zur Seite Microsoft Sentinel zu einem Arbeitsbereich hinzufügen zu gelangen.
    • Klicken Sie auf Create a new workspace (Neuen Arbeitsbereich erstellen). Befolgen Sie die Anweisungen zum Erstellen des neuen Arbeitsbereichs. Nach kurzer Zeit wird der Arbeitsbereich erstellt.
  • Sie verfügen jetzt über einen (ggf. neu erstellten) Arbeitsbereich. Führen Sie die folgenden Schritte aus, um festzustellen, ob Microsoft Sentinel hinzugefügt wurde, und fügen Sie es hinzu, wenn dies nicht der Fall ist:
    • Navigieren Sie zur Hauptseite von Microsoft Sentinel.
    • Wenn Microsoft Sentinel bereits zum Arbeitsbereich hinzugefügt wurde, ist der Arbeitsbereich in der angezeigten Liste enthalten. Fügen Sie ihn wie folgt hinzu, wenn er noch nicht hinzugefügt wurde.
      • Wählen Sie + Erstellen aus, um zur Seite Microsoft Sentinel zu einem Arbeitsbereich hinzufügen zu gelangen.
      • Wählen Sie den Arbeitsbereich in der angezeigten Liste und dann unten auf der Seite Hinzufügen aus. Nach kurzer Zeit wird Microsoft Sentinel Ihrem Arbeitsbereich hinzugefügt.
  • Erstellen Sie wie folgt ein Playbook:
    • Navigieren Sie zur Hauptseite von Microsoft Sentinel. Wählen Sie Ihren Arbeitsbereich aus. Wählen Sie Automation im linken Menü aus, um zur Seite Automation zu gelangen. Diese Seite umfasst drei Registerkarten.
    • Wählen Sie die Registerkarte Playbookvorlagen (Vorschau) aus.
    • Geben Sie im Suchfeld Microsoft Entra-Benutzer blockieren – Incident ein.
    • Wählen Sie in der Liste der Playbooks Microsoft Entra ID-Benutzer blockieren – Incident und dann Playbook erstellen in der unteren rechten Ecke aus, um zur Seite Playbook erstellen zu gelangen.
    • Gehen Sie auf der Seite Playbook erstellen wie folgt vor:
      • Wählen Sie in den Listen Werte für Abonnement, Ressourcengruppe und Region aus.
      • Geben Sie einen Wert für Playbookname ein, wenn Sie den angezeigten Standardnamen nicht verwenden möchten.
      • Wählen Sie ggf. Diagnoseprotokolle in Log Analytics aktivieren aus, um Protokolle zu aktivieren.
      • Lassen Sie das Kontrollkästchen Mit Integrationsdienstumgebung verknüpfen deaktiviert.
      • Lassen Sie Integrationsdienstumgebung leer.
    • Wählen Sie Weiter: Verbindungen> aus, um zur Registerkarte Verbindungen von Playbook erstellen zu gelangen.
    • Wählen Sie aus, wie sie sich innerhalb der Komponenten des Playbook authentifizieren. Eine Authentifizierung ist erforderlich für:
      • Microsoft Entra ID
      • Microsoft Sentinel
      • Office 365 Outlook

      Hinweis

      Sie können die Ressourcen im Rahmen der Playbookanpassung unter der Logik-App-Ressource authentifizieren, wenn Sie die Aktivierung später vornehmen möchten. Um die oben genannten Ressourcen zu authentifizieren, benötigen Sie Berechtigungen zum Aktualisieren eines Benutzers bzw. einer Benutzerin in Microsoft Entra ID. Außerdem muss der*die Benutzer*in Zugriff auf ein E-Mail-Postfach haben und E-Mails senden können.

    • Wählen Sie Weiter: Überprüfen und erstellen> aus, um zur Registerkarte Überprüfen und erstellen der Registerkarte Playbook erstellen zu gelangen.
    • Wählen Sie Erstellen und zum Designer fortfahren aus, um das Playbook zu erstellen und die Seite Logik-App-Designer zu öffnen.

Weitere Informationen zum Erstellen von Logik-Apps finden Sie unter Was ist Azure Logic Apps? sowie unter Schnellstart: Erstellen und Verwalten von Logik-App-Workflowdefinitionen mit mehrinstanzenfähigen Azure Logic Apps und Visual Studio Code.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautor:

Andere Mitwirkende:

Nächste Schritte