Bedrohungserkennung in Microsoft Sentinel
Nachdem Sie Microsoft Sentinel eingerichtet haben, um Daten aus der gesamten Organisation zu sammeln, müssen Sie kontinuierlich alle Daten durchsuchen, um Sicherheitsbedrohungen für Ihre Umgebung zu erkennen. Für diese Aufgabe stellt Microsoft Sentinel Regeln zur Bedrohungserkennung bereit, die regelmäßig ausgeführt werden und die die erfassten Daten abfragen und analysieren, um Bedrohungen zu erkennen. Diese Regeln gibt es in verschiedenen Varianten. Sie werden gemeinsam als Analyseregeln bezeichnet.
Diese Regeln generieren Warnungen, wenn sie finden, wonach gesucht wird. Warnungen enthalten Informationen zu den erkannten Ereignissen, z. B. die Entitäten (Benutzer, Geräte, Adressen und andere Elemente). Warnungen werden aggregiert und in Incidents (Falldateien) korreliert, die Sie zuweisen und untersuchen können, um das vollständige Ausmaß der erkannten Bedrohung zu erkennen und entsprechend zu reagieren. Sie können auch vordefinierte, automatisierte Antworten in die eigene Konfiguration der Regeln integrieren.
Sie können diese Regeln von Grund auf neu erstellen, indem Sie den integrierten Analyseregel-Assistenten verwenden. Microsoft empfiehlt jedoch dringend, die breite Palette an Analyseregelvorlagen zu nutzen, die über die zahlreichen Lösungen für Microsoft Sentinel im Inhaltshub zur Verfügung stehen. Diese Vorlagen sind vorkonfigurierte Prototypen und wurden von den Teams aus Sicherheitsexperten und -analysten auf der Grundlage ihrer Kenntnisse über bekannten Bedrohungen, häufig verwendete Angriffsvektoren und Eskalationsketten verdächtiger Aktivitäten entworfen. Sie aktivieren Regeln aus diesen Vorlagen, um die gesamte Umgebung automatisch nach allen Aktivitäten zu durchsuchen, die verdächtig erscheinen. Viele Vorlagen können so angepasst werden, dass gemäß Ihren Anforderungen nach bestimmten Arten von Ereignissen gesucht oder gefiltert werden kann.
In diesem Artikel erfahren Sie, wie Microsoft Sentinel Bedrohungen erkennt und was als Nächstes geschieht.
Wichtig
Microsoft Sentinel ist in der Unified Security Operations Platform von Microsoft im Microsoft Defender-Portal allgemein verfügbar. Für die Vorschau ist Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR oder eine E5-Lizenz verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Typen von Analyseregeln
Sie können die für Sie verfügbaren Analyseregeln und -vorlagen auf der Seite Analysen des Menüs Konfiguration in Microsoft Sentinel anzeigen. Die derzeit aktiven Regeln werden auf einer Registerkarte und die Vorlagen zum Erstellen neuer Regeln auf einer anderen Registerkarte angezeigt. Auf einer dritten Registerkarte werden Anomalien angezeigt, ein spezieller Regeltyp, der weiter unten in diesem Artikel beschrieben wird.
Weitere Regelvorlagen, die derzeit angezeigt werden, finden Sie im Inhaltshub in Microsoft Sentinel, um die zugehörigen Produktlösungen oder eigenständigen Inhalte zu installieren. Analyseregelvorlagen sind mit fast jeder Produktlösung im Inhaltshub verfügbar.
Die folgenden Arten von Analyseregeln und Regelvorlagen sind in Microsoft Sentinel verfügbar:
Neben den oben genannten Regeltypen gibt es weitere spezielle Vorlagentypen, die jeweils eine Instanz einer Regel mit eingeschränkten Konfigurationsoptionen erstellen können:
- Threat Intelligence
- Erweiterte Erkennung von mehrstufigen Angriffen (Fusion)
- ML-Verhaltensanalysen (Machine Learning)
Geplante Regeln
Geplante Regeln sind der bei weitem am häufigsten verwendete Typ von Analyseregeln. Sie basieren auf Kusto-Abfragen, die so konfiguriert sind, dass sie in regelmäßigen Abständen ausgeführt werden und Rohdaten aus einem definierten Rückblickzeitraum untersuchen. Wenn die Anzahl der von der Abfrage erfassten Ergebnisse den in der Regel konfigurierten Schwellenwert überschreitet, erzeugt die Regel eine Warnung.
Die Abfragen in Vorlagen für geplante Regeln wurden von Sicherheits- und Data Science-Experten von Microsoft oder vom Anbieter der Lösung geschrieben, der die Vorlage bereitstellt. Abfragen können komplexe statistische Vorgänge für ihre Zieldaten ausführen und dabei Baselines und Ausreißer in Ereignisgruppen anzeigen.
Die Abfragelogik wird in der Regelkonfiguration angezeigt. Sie können die Abfragelogik und die Planungs- und Rückblickseinstellungen wie in der Vorlage definiert verwenden oder anpassen, um neue Regeln zu erstellen. Alternativ können Sie völlig neue Regeln von Grund auf erstellen.
Hier erfahren Sie mehr über geplante Analyseregeln in Microsoft Sentinel.
Fast-Echtzeit (NRT) Regeln
NRT-Regeln sind eine begrenzte Teilmenge von geplanten Regeln. Sie sollen einmal pro Minute ausgeführt werden, um Ihnen so schnell wie möglich aktuelle Informationen zur Verfügung zu stellen.
Sie funktionieren größtenteils wie geplante Regeln und werden mit einigen Einschränkungen auf ähnliche Weise konfiguriert.
Informieren Sie sich ausführlicher über die schnelle Erkennung von Bedrohungen mit NRT-Analyseregeln (Near-Real-Time, Quasi-Echtzeit) in Microsoft Sentinel.
Anomalie-Regeln
Anomalieregeln verwenden maschinelles Lernen, um bestimmte Arten von Verhaltensweisen über einen bestimmten Zeitraum zu beobachten, um eine Baseline zu bestimmen. Jede Regel hat ihre eigenen Parameter und Schwellenwerte, die auf das zu analysierende Verhalten abgestimmt sind. Nach Abschluss des Beobachtungszeitraums wird die Baseline festgelegt. Wenn die Regel Verhaltensweisen beobachtet, die die in der Baseline festgelegten Grenzen überschreiten, werden diese Vorkommen als Anomalien gekennzeichnet.
Die Konfigurationen von vorkonfigurierten Regeln können zwar nicht geändert oder fein abgestimmt werden, doch Sie können eine Regel duplizieren und das Duplikat dann ändern und fein abstimmen. Führen Sie in solchen Fällen das Duplikat im Modus Test-Flighting und das Original gleichzeitig im Modus Produktion aus. Vergleichen Sie dann die Ergebnisse, und stellen Sie das Duplikat auf Produktion um, sobald die Optimierung Ihren Wünschen entspricht.
Anomalien deuten nicht unbedingt auf böswilliges oder gar verdächtiges Verhalten hin. Daher generieren Anomalieregeln keine eigenen Warnungen. Stattdessen zeichnen sie die Ergebnisse ihrer Analyse – die erkannten Anomalien – in der Tabelle Anomalien auf. Sie können diese Tabelle abfragen, um Kontext bereitzustellen, der Ihre Erkennungen, Untersuchungen und Bedrohungssuche verbessert.
Weitere Informationen finden Sie unter Verwenden anpassbarer Anomalien zum Erkennen von Bedrohungen in Microsoft Sentinel und Arbeiten mit Analyseregeln für die Anomalieerkennung in Microsoft Sentinel.
Microsoft-Sicherheitsregeln
Während geplante und NRT-Regeln automatisch Incidents für die von ihnen generierten Warnungen erstellen, erzeugen in externen Diensten generierte und in Microsoft Sentinel erfasste Warnungen keine eigenen Incidents. Mit Microsoft-Sicherheitsregeln werden aus den Warnungen, die in anderen Microsoft-Sicherheitslösungen generiert werden, in Echtzeit Microsoft Sentinel-Incidents erstellt. Sie können Microsoft-Sicherheitsvorlagen verwenden, um neue Regeln mit ähnlicher Logik zu erstellen.
Wichtig
Microsoft-Sicherheitsregeln sind in folgenden Fällen nicht verfügbar:
- Sie haben die Integration von Microsoft Defender XDR-Vorfällen aktiviert. Oder
- Microsoft Sentinel wurde in das Defender-Portal integriert.
In diesen Szenarien erstellt Microsoft Defender XDR stattdessen die Incidents.
Alle zuvor definierten Regeln werden automatisch deaktiviert.
Weitere Informationen zu Regeln zur Erstellung von Microsoft-Sicherheitsincidents finden Sie unter Automatisches Erstellen von Incidents aus Microsoft-Sicherheitswarnungen.
Threat Intelligence
Nutzen Sie die von Microsoft erzeugte Threat Intelligence, um mit der Microsoft Threat Intelligence Analytics-Regel Warnungen und Vorfälle mit hoher Genauigkeit zu generieren. Diese eindeutige Regel ist nicht anpassbar, gleicht aber beim Aktivieren automatisch CEF (Common Event Format)-Protokolle, Syslog-Daten oder Windows-DNS-Ereignisse mit Domänen-, IP- und URL-Bedrohungsindikatoren von Microsoft Threat Intelligence ab. Bestimmte Indikatoren enthalten durch MDTI (Microsoft Defender Threat Intelligence) mehr Kontextinformationen.
Weitere Informationen zum Aktivieren dieser Regel finden Sie unter Verwenden von Abgleichanalysen zum Erkennen von Bedrohungen.
Weitere Informationen zu MDTI finden Sie unter Was ist Microsoft Defender Threat Intelligence?.
Erweiterte Erkennung von mehrstufigen Angriffen (Fusion)
Microsoft Sentinel nutzt die Korrelations-Engine von Fusion mit ihren skalierbaren Algorithmen zum maschinellen Lernen, um komplexe, mehrstufige Angriffe zu erkennen, indem viele Warnungen und Ereignisse mit niedriger Zuverlässigkeit über mehrere Produkte hinweg zu Incidents mit hoher Zuverlässigkeit und Handlungsrelevanz korreliert werden. Die Regel Erweiterte Erkennung von mehrstufigen Angriffen ist standardmäßig aktiviert. Da die Logik ausgeblendet und daher nicht anpassbar ist, kann es nur eine Regel mit dieser Vorlage geben.
Die Fusion-Engine kann auch Warnungen, die von geplanten Analyseregeln generiert werden, mit denen anderer Systeme korrelieren, was zu High-Fidelity-Vorfällen führt.
Wichtig
Der Regeltyp Erweiterte Erkennung von mehrstufigen Angriffen ist in folgenden Fällen nicht verfügbar:
- Sie haben die Integration von Microsoft Defender XDR-Vorfällen aktiviert. Oder
- Microsoft Sentinel wurde in das Defender-Portal integriert.
In diesen Szenarien erstellt Microsoft Defender XDR stattdessen die Incidents.
Einige der Fusion-Erkennungsvorlagen befinden sich derzeit in der VORSCHAUPHASE. (Unter Erweiterte Erkennung mehrstufiger Angriffe in Microsoft Sentinel sehen Sie, welche das sind.) Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Machine Learning (ML) Behavior Analytics
Nutzen Sie die proprietären Algorithmen zum maschinellen Lernen von Microsoft, um mit den Regeln für ML-Verhaltensanalysen Warnungen und Incidents mit hoher Zuverlässigkeit zu generieren. Diese eindeutigen Regeln (derzeit in der Vorschauphase) können nicht angepasst werden. Wenn sie aktiviert werden, erkennen sie jedoch bestimmte anomale Verhaltensweisen bei der SSH- und RDP-Anmeldung basierend auf Informationen zu IP-Adressen, Geolocation und Benutzerverlauf.
Zugriffsberechtigungen für Analyseregeln
Wenn Sie eine Analyseregel erstellen, wird ein Zugriffsberechtigungstoken auf die Regel angewendet und zusammen mit ihr gespeichert. Dieses Token stellt sicher, dass die Regel auf den Arbeitsbereich zugreifen kann, der die von der Regel abgefragten Daten enthält, und dass dieser Zugriff auch dann beibehalten wird, wenn die Erstellenden der Regel den Zugriff auf diesen Arbeitsbereich verlieren.
Es gibt jedoch eine Ausnahme: Wenn eine Regel für den Zugriff auf Arbeitsbereiche in anderen Abonnements oder Mandanten erstellt wird (z. B. im Fall eines MSSP), ergreift Microsoft Sentinel zusätzliche Sicherheitsmaßnahmen, um nicht autorisierten Zugriff auf Kundendaten zu verhindern. Bei diesen Arten von Regeln werden die Anmeldeinformationen des Benutzenden, der die Regel erstellt hat, auf die Regel anstelle eines unabhängigen Zugriffstokens angewendet, sodass die Regel nicht mehr funktioniert, wenn der Benutzende keinen Zugriff mehr auf das andere Abonnement oder den anderen Mandanten hat.
Wenn Sie Microsoft Sentinel in einem abonnement- oder mandantenübergreifenden Szenario betreiben, funktionieren alle von diesem Benutzer erstellten Regeln nicht mehr, wenn einer Ihrer Analysten oder Techniker den Zugriff auf einen bestimmten Arbeitsbereich verliert. Sie erhalten eine Nachricht von der Systemüberwachung mit dem Betreff „unzureichender Zugriff auf Ressource“, und die Regel wird automatisch deaktiviert, nachdem eine bestimmte Anzahl von Fehlern aufgetreten ist.
Exportieren von Regeln in eine ARM-Vorlage
Sie können Ihre Regel problemlos in eine Azure Resource Manager-Vorlage (ARM) exportieren, wenn Sie Ihre Regeln als Code verwalten und bereitstellen möchten. Sie können auch Regeln aus Vorlagendateien importieren und dann auf der Benutzeroberfläche anzeigen und bearbeiten.
Nächste Schritte
Informieren Sie sich ausführlicher über geplante Analyseregeln in Microsoft Sentinel und die schnelle Erkennung von Bedrohungen mit NRT-Analyseregeln (Near-Real-Time, Quasi-Echtzeit) in Microsoft Sentinel.
Weitere Regelvorlagen finden Sie unter Ermitteln und Verwalten von sofort einsatzbereiten Microsoft Sentinel-Inhalten.