Aktualisieren von SOC-Prozessen
Ein Security Operations Center (SOC) ist eine zentrale Funktion in einer Organisation, die Personen, Prozesse und Technologien integriert. Ein SOC implementiert das allgemeine Cybersicherheitsframework der Organisation. Das SOC koordiniert die organisatorischen Bemühungen hinsichtlich Überwachung, Warnungen, Vorbeugung, Erkennung, Analyse und Reaktionen im Zusammenhang mit Cybersicherheitsincidents. SOC-Teams werden von einem SOC-Manager geleitet und können Zuständige für die Reaktion auf Incidents, SOC-Analysten der Ebenen 1, 2 und 3, Bedrohungssucher und Manager für die Reaktion auf Incidents umfassen.
SOC-Teams verwenden Telemetriedaten aus der IT-Infrastruktur der Organisation. Hierzu zählen unter anderem Netzwerke, Geräte, Anwendungen, Verhaltensweisen, Appliances und Informationsspeicher. Die Teams korrelieren und analysieren dann die Daten, um zu bestimmen, wie die Daten verwaltet und welche Aktionen ausgeführt werden sollen.
Für eine erfolgreiche Migration zu Microsoft Sentinel müssen Sie nicht nur die vom SOC verwendete Technologie aktualisieren, sondern auch die SOC-Aufgaben und -Prozesse. In diesem Artikel erfahren Sie, wie Sie Ihre SOC- und Analystenprozesse im Rahmen Ihrer Migration zu Microsoft Sentinel aktualisieren.
Aktualisieren des Analystenworkflows
Microsoft Sentinel bietet eine Reihe von Tools für typische Analystenworkflows – von der Incidentzuweisung bis hin zur Schließung. Analysten können flexibel einige oder alle verfügbaren Tools nutzen, um Incidents zu selektieren und zu untersuchen. Während der Migration Ihrer Organisation zu Microsoft Sentinel müssen sich Ihre Analysten an diese neuen Toolsets, Features und Workflows anpassen.
Incidents in Microsoft Sentinel
In Microsoft Sentinel ist ein Incident eine Sammlung von Warnungen, die nach Einschätzung von Microsoft Sentinel ausreichen, um den Incident auszulösen. Daher selektiert der Analyst mit Microsoft Sentinel zunächst Incidents auf der Seite Incidents und analysiert anschließend Warnungen, wenn eine genauere Untersuchung erforderlich ist. Vergleichen Sie die Incidentterminologie und die Verwaltungsbereiche Ihrer SIEM-Lösung mit Microsoft Sentinel.
Phasen des Analystenworkflows
In dieser Tabelle werden die wichtigsten Phasen des Analystenworkflows beschrieben und die spezifischen Tools hervorgehoben, die für die jeweilige Aktivität im Workflow relevant sind:
| Zuweisen | Eingrenzung | Untersuchen | Reagieren |
|---|---|---|---|
| Zuweisen von Incidents: • Manuell auf der Seite Incidents • Automatisch mithilfe von Playbooks oder Automatisierungsregeln |
Selektieren von Incidents mithilfe von: • Incidentdetails auf der Seite Incident • Entitätsinformationen auf der Seite Incident auf der Registerkarte Entitäten • Jupyter Notebook-Instanzen |
Untersuchen von Incidents mithilfe von: • Untersuchungsdiagramm • Microsoft Sentinel-Arbeitsmappen • Log Analytics-Abfragefenster |
Reagieren auf Incidents mithilfe von: • Playbooks und Automatisierungsregeln • Microsoft Teams-Kommandozentrale |
In den nächsten Abschnitten werden sowohl die Terminologie als auch der Analystenworkflow bestimmten Microsoft Sentinel-Features zugeordnet:
Zuweisen
Verwenden Sie die Microsoft Sentinel-Seite Incidents, um Incidents zuzuweisen. Die Seite Incidents enthält eine Incidentvorschau sowie eine detaillierte Ansicht für einzelne Incidents.
So weisen Sie einen Incident zu
- Manuell. Legen Sie das Feld Besitzer auf den relevanten Benutzernamen fest.
- Automatisch. Verwenden Sie eine benutzerdefinierte Lösung auf Basis von Microsoft Teams und Logic Apps oder eine Automatisierungsregel.
Eingrenzung
Um eine Selektierungsübung in Microsoft Sentinel durchzuführen, können Sie je nach Erfahrungsgrad und Art des zu untersuchenden Incidents mit verschiedenen Microsoft Sentinel-Features beginnen. Ein typischer Startpunkt ist die Option Alle Details anzeigen auf der Seite Incident. Sie können nun die Warnungen im Zusammenhang mit dem Incident untersuchen, Textmarken überprüfen, Entitäten auswählen, um weitere Details zu bestimmten Entitäten zu erhalten, oder Kommentare hinzufügen.
Im Anschluss finden Sie vorgeschlagene Aktionen zum Fortsetzen Ihrer Incidentüberprüfung:
- Wählen Sie Untersuchung aus, um eine visuelle Darstellung der Beziehungen zwischen den Incidents und den relevanten Entitäten zu erhalten.
- Verwenden Sie eine Jupyter Notebook-Instanz, um eine ausführliche Selektierungsübung für eine bestimmte Entität durchzuführen. Für diese Übung kann das Notebook Incidentselektierung verwendet werden.
Beschleunigen der Selektierung
Verwenden Sie die folgenden Features und Funktionen, um die Selektierung zu beschleunigen:
- Zum schnellen Filtern können Sie auf der Seite Incidentsnach Incidents suchen, die einer bestimmten Entität zugeordnet sind. Das Filtern nach Entität auf der Seite Incidents ist schneller als das Filtern nach der Entitätsspalte in älteren SIEM-Incidentwarteschlangen.
- Verwenden Sie für eine schnellere Selektierung den Bildschirm Warnungsdetails, um wichtige Incidentinformationen wie etwa den zugehörigen Benutzernamen, die IP-Adresse oder den Host in den Incidentnamen und in die Beschreibung einzuschließen. Ein Incident kann beispielsweise dynamisch in
Ransomware activity detected in DC01umbenannt werden, wobeiDC01eine kritische Ressource ist, die dynamisch über die anpassbaren Warnungseigenschaften identifiziert wird. - Für eine tiefgreifendere Analyse können Sie auf der Seite Incidents einen Incident und anschließend unter Beweis die Option Ereignisse auswählen, um bestimmte Ereignisse anzuzeigen, durch die der Incident ausgelöst wurde. Die Ereignisdaten werden als Ausgabe der Abfrage angezeigt, die der Analyseregel (nicht dem Rohereignis) zugeordnet ist. Der Regelmigrationstechniker kann diese Ausgabe verwenden, um sicherzustellen, dass der Analyst die richtigen Daten erhält.
- Wählen Sie zum Anzeigen ausführlicher Entitätsinformationen auf der Seite Incidents einen Incident und anschließend unter Entitäten einen Entitätsnamen aus, um die Verzeichnisinformationen, die Zeitachse und die Erkenntnisse für die Entität anzuzeigen. Informationen zum Zuordnen von Entitäten finden Sie hier.
- Wenn Sie eine Verknüpfung mit relevanten Arbeitsmappen herstellen möchten, wählen Sie Incidentvorschau aus. Sie können die Arbeitsmappe so anpassen, dass zusätzliche Informationen zu dem Incident oder zugeordnete Entitäten und benutzerdefinierte Felder angezeigt werden.
Untersuchen
Verwenden Sie das Untersuchungsdiagramm, um Incidents ausführlich zu untersuchen. Wählen Sie auf der Seite Incidents einen Incident und anschließend Untersuchen aus, um das Untersuchungsdiagramm anzuzeigen.
Das Untersuchungsdiagramm bietet folgende Möglichkeiten:
- Sie können den Umfang einer potenziellen Sicherheitsbedrohung nachvollziehen und deren Grundursache ermitteln, indem Sie relevante Daten mit betroffenen Entitäten korrelieren.
- Sie können tiefer in Entitäten eintauchen und zwischen verschiedenen Erweiterungsoptionen wählen.
- Sie können automatisch aus den Rohdaten extrahierte Beziehungen anzeigen und so mühelos Verbindungen über verschiedene Datenquellen hinweg sehen.
- Sie können den Untersuchungsumfang mithilfe integrierter Auswertungsabfragen erweitern, um das vollständige Ausmaß einer Sicherheitsverletzung aufzudecken.
- Sie können vordefinierte Erkundungsoptionen verwenden, um bei der Untersuchung einer Bedrohung die richtigen Fragen zu stellen.
Über das Untersuchungsdiagramm können Sie auch Arbeitsmappen zur weiteren Unterstützung Ihrer Untersuchung öffnen. Microsoft Sentinel enthält mehrere Arbeitsmappenvorlagen, die Sie für Ihren spezifischen Anwendungsfall anpassen können.
Reagieren
Verwenden Sie die Microsoft Sentinel-Funktionen für automatisierte Reaktionen, um auf komplexe Bedrohungen zu reagieren und Warnungsmüdigkeit entgegenzuwirken. Microsoft Sentinel bietet automatisierte Reaktionen mithilfe von Logic Apps-Playbooks und Automatisierungsregeln.
Verwenden Sie eine der folgenden Optionen, um auf Playbooks zuzugreifen:
- Automatisierung > Playbookvorlagen (Registerkarte)
- Microsoft Sentinel: Content Hub
- Microsoft Sentinel: GitHub-Repository
Diese Quellen umfassen eine Vielzahl sicherheitsorientierter Playbooks, die einen Großteil von Anwendungsfällen mit unterschiedlicher Komplexität abdecken. Verwenden Sie die Vorlagen unter Automatisierung > Playbook-Vorlagen, um Ihre Arbeit mit Playbooks zu optimieren. Mithilfe von Vorlagen können Sie Playbooks mühelos in der Microsoft Sentinel-Instanz bereitstellen und dann die Playbooks an die Anforderungen Ihrer Organisation anpassen.
Informationen zum Zuordnen Ihres SOC-Prozesses zu Microsoft Sentinel-Funktionen finden Sie im SOC-Prozessframework.
Vergleichen von SIEM-Konzepten
In der folgenden Tabelle können Sie die wichtigsten Konzepte Ihrer Legacy-SIEM-Lösung mit Microsoft Sentinel-Konzepten vergleichen:
| ArcSight | QRadar | Splunk | Microsoft Sentinel |
|---|---|---|---|
| Ereignis | Ereignis | Ereignis | Ereignis |
| Korrelationsereignis | Korrelationsereignis | Relevantes Ereignis | Warnung |
| Incident | Verstoß | Relevantes Ereignis | Incident |
| Liste der Verstöße | Tags | Seite „Incidents“ | |
| Bezeichnungen | Benutzerdefiniertes Feld in SOAR | `Tags` | `Tags` |
| Jupyter Notebook | Jupyter Notebook | Microsoft Sentinel-Notebooks | |
| Dashboards | Dashboards | Dashboards | Arbeitsmappen |
| Korrelationsregeln | Bausteine | Korrelationsregeln | Analyseregeln |
| Incidentwarteschlange | Registerkarte „Straftaten“ | Incidentüberprüfung | Seite Incident |
Nächste Schritte
Sehen Sie sich nach der Migration die Microsoft Sentinel-Ressourcen von Microsoft an, um Ihre Qualifikationen zu erweitern und Microsoft Sentinel optimal zu nutzen.
Erwägen Sie ebenfalls, Ihren Bedrohungsschutz zu erhöhen, indem Sie Microsoft Sentinel zusammen mit Microsoft Defender XDR und Microsoft Defender for Cloud verwenden und so von integriertem Bedrohungsschutz profitieren. Profitieren Sie von der Breite der Sichtbarkeit, die Microsoft Sentinel bietet, während Sie sich eingehender mit der detaillierten Bedrohungsanalyse befassen.
Weitere Informationen finden Sie unter:
- Bewährte Methoden für Regelmigration
- Webinar: Bewährte Methoden zum Konvertieren von Erkennungsregeln
- Sicherheitsorchestrierung, Automatisierung und Reaktion (Security Orchestration, Automation and Response, SOAR) in Microsoft Sentinel
- Bessere Verwaltung von SOC mit Incidentmetriken
- Microsoft Sentinel-Lernpfad
- SC-200 Microsoft Security Operations Analyst-Zertifizierung
- Microsoft Sentinel-Ninja-Training
- Nutzen von Microsoft Sentinel zur Untersuchung eines Angriffs auf eine Hybridumgebung