Freigeben über


Schritt 3. Einlesen von Datenquellen und Konfigurieren der Vorfallerkennung in Microsoft Sentinel

Nachdem Sie den Entwurf und die Implementierung Ihrer Microsoft Sentinel-Arbeitsbereiche abgeschlossen haben, fahren Sie mit dem Erfassen von Datenquellen fort, und konfigurieren Sie die Incidenterkennung.

Lösungen in Microsoft Sentinel bieten eine konsolidierte Möglichkeit, Microsoft Sentinel-Inhalte (z. B. Datenconnectors, Arbeitsmappen, Analysen und Automatisierungen) in Ihrem Arbeitsbereich mit einem einzigen Bereitstellungsschritt abzurufen.

Datenkonnektoren sind so konfiguriert, dass sie die Aufnahme von Daten in den Arbeitsbereich ermöglichen. Nach dem Aktivieren wichtiger Datenpunkte, die in Microsoft Sentinel erfasst werden sollen, müssen User and Entity Behavior Analytics (UEBA) und Analyseregeln ebenfalls aktiviert werden, um anomale und schädliche Aktivitäten zu erfassen. Analyseregeln legen fest, wie Warnungen und Incidents in Ihrer Microsoft Sentinel-Instanz generiert werden. Durch die Anpassung der Analyseregeln an Ihre Anforderungen für die Umgebung und Organisation über die Entitätszuordnung können Sie High-Fidelity-Incidents erzeugen und Warnungsmüdigkeit reduzieren.

Wenn Sie ein Onboarding für Ihren Arbeitsbereich in Unified Security Operations Platform durchgeführt haben, sind die Verfahren in diesem Schritt in den Portalen von Azure und Defender verfügbar.

Voraussetzungen

Bestätigen Sie die Installationsmethode, die erforderlichen Rollen und die Lizenzen, die für die Aktivierung der Datenverbindungen erforderlich sind. Weitere Informationen finden Sie unter Suchen Ihres Microsoft Sentinel-Datenconnectors.

Die folgende Tabelle bietet eine Zusammenfassung der Voraussetzungen, die für die Erfassung wichtiger Datenconnectors in Microsoft Sentinel für Azure- und Microsoft-Dienste erforderlich sind:

Ressourcentyp Installationsmethode Rolle/Erlaubnisse/Lizenzen erforderlich
Microsoft Entra ID Native Datenverbindung Sicherheitsadministrator

Anmeldungsprotokolle erfordern eine Microsoft Entra ID P1 oder P2 Lizenz
Andere Protokolle benötigen weder P1 noch P2
Microsoft Entra ID Protection Native Datenverbindung Sicherheitsadministrator

Lizenz: Microsoft Entra ID P2
Azure-Aktivität Azure Policy Eigentümerrolle für Abonnements erforderlich
Microsoft Defender XDR Native Datenverbindung Sicherheitsadministrator

Lizenz: Microsoft 365 E5, Microsoft 365 A5 oder eine beliebige andere berechtigte Microsoft Defender XDR-Lizenz
Microsoft Defender für Cloud Native Datenverbindung Sicherheitsleseberechtigter

Um die bidirektionale Synchronisierung zu aktivieren, ist die Rolle Contributor/Security Admin für das Abonnement erforderlich.
Microsoft Defender for Identity Native Datenverbindung Sicherheitsadministrator

Lizenz: Microsoft Defender für Identität
Microsoft Defender für Office 365 Native Datenverbindung Sicherheitsadministrator

Lizenz: Microsoft Defender für Office 365 Plan 2
Microsoft 365 Native Datenverbindung Sicherheitsadministrator
Microsoft Defender für IoT Beitrag zum Abonnement mit IoT-Hubs
Microsoft Defender für Cloud-Apps Native Datenverbindung Sicherheitsadministrator

Lizenz: Microsoft Defender für Cloud Apps
Microsoft Defender für den Endpunkt Native Datenverbindung Sicherheitsadministrator

Lizenz: Microsoft Defender für Endpoint
Windows-Sicherheitsereignisse

über den Azure Monitor-Agent (AMA)
Native Datenverbindung mit Agent Lesen/Schreiben im Log Analytics Arbeitsbereich
Syslog Native Datenverbindung mit Agent Log Analytics Arbeitsbereich lesen/schreiben

Schritt 1: Installieren von Lösungen und Aktivieren von Datenconnectors

Verwenden Sie die folgenden Empfehlungen für die Installation von Lösungen und die Konfiguration von Datenconnectors. Weitere Informationen finden Sie unter:

Einrichten kostenloser Datenquellen

Konzentrieren Sie sich zunächst auf das Einrichten kostenloser Datenquellen für die Erfassung von Folgendem:

  • Azure-Aktivitätsprotokolle: Die Erfassung von Azure-Aktivitätsprotokollen ist entscheiden, damit Microsoft Sentinel in der gesamten Umgebung eine Single-Pane-of-Glass-Ansicht bereitstellen kann.

  • Office 365-Überwachungsprotokolle, einschließlich aller SharePoint-Aktivitäten, Exchange-Administratoraktivitäten und Teams.

  • Sicherheitswarnungen, einschließlich der Warnungen aus Microsoft Defender for Cloud, Microsoft Defender XDR, Microsoft Defender for Office 365, Microsoft Defender for Identity und Microsoft Defender for Endpoint.

    Wenn Sie kein Onboarding für Ihren Arbeitsbereich in Unified Security Operations Platform durchgeführt haben und im Azure-Portal arbeiten, ermöglicht die Erfassung von Sicherheitswarnungen in Microsoft Sentinel es dem Azure-Portal, in der gesamten Umgebung als zentraler Bereich für die Incidentverwaltung zu fungieren. In solchen Fällen beginnt die Untersuchung von Incidents in Microsoft Sentinel und sollte im Microsoft Defender-Portal oder in Defender for Cloud fortgesetzt werden, wenn eine ausführlichere Analyse erforderlich ist.

    Weitere Informationen finden Sie unter Microsoft Defender XDR-Vorfälle und Microsoft-Vorfallerstellungsregeln.

  • Warnungen in Microsoft Defender for Cloud Apps

Weitere Informationen finden Sie unter Preise von Microsoft Sentinel und Kostenlose Datenquellen.

Einrichten kostenpflichtiger Datenquellen

Konzentrieren Sie sich für eine umfassendere Überwachung und Warnungsabdeckung auf das Hinzufügen der Datenconnectors von Microsoft Entra ID und Microsoft Defender XDR. Für die Erfassung von Daten aus diesen Quellen fallen Gebühren an.

Stellen Sie sicher, dass Microsoft Defender XDR-Protokolle an Microsoft Sentinel gesendet werden, wenn eine der folgenden Anforderungen erfüllt werden muss:

  • Onboarding in Unified Security Operations Platform, wodurch ein einzelnes Portal für die Verwaltung von Incidents in Microsoft Defender bereitgestellt wird
  • Fusion-Warnungen in Microsoft Sentinel, die Datenquellen aus mehreren Produkten korrelieren, um in der gesamten Umgebung mehrstufige Angriffe zu erkennen
  • Längere Aufbewahrung als die, die Microsoft Defender XDR bietet
  • Automatisierung, die nicht durch die integrierten Korrekturen von Microsoft Defender for Endpoint abgedeckt wird

Weitere Informationen finden Sie unter:

Einrichten von Datenquellen pro Umgebung

In diesem Abschnitt werden Datenquellen beschrieben, die Sie in Abhängigkeit von den in Ihrer Umgebung verwendeten Diensten und Bereitstellungsmethoden verwenden sollten.

Szenario Datenquellen
Azure-Dienste Verwenden Sie beim Bereitstellen eines der folgenden Dienste in Azure die folgenden Connectors, um die Diagnoseprotokolle dieser Ressourcen an Microsoft Sentinel zu senden:

- Azure Firewall
- Azure Application Gateway
- KeyVault
- Azure Kubernetes Service (AKS)
- Azure SQL
- Netzwerksicherheitsgruppen
- Azure Arc-Server

Es wird empfohlen, Azure Policy so einzurichten, dass ihre Protokolle an den zugrunde liegenden Log Analytics-Arbeitsbereich weitergeleitet werden. Weitere Informationen finden Sie unter Erstellung von Diagnoseeinstellungen in großem Umfang mit Azure Policy.
Virtuelle Computer Verwenden Sie die folgenden Datenconnectors für lokal oder in anderen Clouds gehostete VMs, deren Protokolle erfasst werden müssen:

- Ereignisse in Windows-Sicherheit mithilfe von AMA
– Ereignisse über Defender for Endpoint (für Server)
- Syslog
Virtuelle Netzwerkgeräte bzw. lokale Quellen Verwenden Sie die folgenden Datenconnectors für virtuelle Netzwerkgeräte oder andere lokale Quellen, die CEF-Protokolle (Common Event Format) oder Syslog-Protokolle generieren:

- Syslog via AMA
- CEF (Common Event Format) über AMA

Weitere Informationen finden Sie unter Erfassen von Syslog- und CEF-Nachrichten für Microsoft Sentinel mit dem Azure Monitor-Agent.

Suchen Sie daraufhin im Content Hub von Microsoft Sentinel nach anderen Geräten und SaaS-Apps (Software-as-a-Service), für die Protokolle an Microsoft Sentinel gesendet werde müssen.

Weitere Informationen finden Sie unter Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte.

Schritt 2: Aktivieren von User and Entity Behavior Analytics

Aktivieren Sie nach dem Einrichten von Datenconnectors in Microsoft Sentinel User and Entity Behavior Analytics, um verdächtiges Verhalten zu identifizieren, das zu Phishingexploits und letztendlich zu Phishingangriffen wie Ransomware führen könnte. Oft ist die Erkennung von Anomalien durch UEBA die beste Methode, um Zero-Day-Exploits frühzeitig zu erkennen.

Mithilfe von UEBA kann Microsoft Sentinel Verhaltensprofile der Entitäten Ihres Unternehmens über die Zeit und die Peer Group hinweg erstellen, um anomale Aktivitäten zu erkennen. Dieser zusätzliche Nutzen hilft bei der Untersuchung, ob ein Vermögenswert kompromittiert wurde. Da es die Gruppenzugehörigkeit identifiziert, kann dies auch bei der Bestimmung des Explosionsradius der Kompromittierung helfen.

Weitere Informationen finden Sie unter Identifizieren von Bedrohungen mit User and Entity Behavior Analytics

Schritt 3: Aktivieren von Analyseregeln

Analyseregeln bilden das Kernstück von Microsoft Sentinel. Sie legen diese Regeln fest, um Microsoft Sentinel anzuweisen, Sie bei Ereignissen mit einer Reihe von Bedingungen zu benachrichtigen, die Sie als wichtig erachten. Die vorkonfigurierten Entscheidungen, die Microsoft Sentinel trifft, basieren auf User and Entity Behavior Analytics (UEBA) sowie auf Korrelationen von Daten aus mehreren Datenquellen.

Priorisieren Sie beim Aktivieren von Analyseregeln für Microsoft Sentinel die Aktivierung durch verbundene Datenquellen, Organisationsrisiken und die MITRE-Taktik.

Vermeiden duplizierter Incidents

Wenn Sie den Microsoft Defender XDR-Connector aktiviert haben, wird automatisch eine bidirektionale Synchronisierung zwischen Microsoft 365 Defender-Incidents und Microsoft Sentinel eingerichtet.

Um die Erstellung duplizierter Incidents für dieselben Warnungen zu vermeiden, wird empfohlen, alle Regeln für die Erstellung von Incidents von Microsoft für in Microsoft Defender XDR integrierte Produkte zu deaktivieren, einschließlich Defender for Cloud, Defender for Identity, Defender for Office 365, Defender for Cloud Apps und Microsoft Entra ID Protection.

Weitere Informationen finden Sie unter Microsoft Defender XDR-Vorfälle und Microsoft-Vorfallerstellungsregeln.

Verwenden von Fusion-Warnungen

Standardmäßig aktiviert Microsoft Sentinel die Analyseregel Erweiterte Erkennung mehrstufiger Angriffe in Fusion, um mehrstufige Angriffe automatisch zu identifizieren.

Mithilfe von Ereignissen zu anomalem Verhalten und verdächtigen Aktivitäten, die in der gesamten Cyber-Kill-Chain beobachtet werden, generiert Microsoft Sentinel Incidents. Diese erlauben es Ihnen, die Kompromittierungsincidents anzuzeigen, die mindestens zwei Warnungsaktivitäten und ein hohes Maß an Konfidenz aufweisen.

Die Warnungstechnologie von Fusion korreliert allgemeine Datensignale mit einer erweiterten Machine-Learning-Analyse (ML), um bekannte, unbekannte und neue Bedrohungen zu ermitteln. Beispielsweise kann die Fusion-Erkennung die Vorlagen für Anomalieregeln und die geplanten Abfragen, die für das Ransomwareszenario erstellt wurden, mit Warnungen von Diensten der Microsoft Security-Suite koppeln. Zu diesen Diensten zählen unter anderem die folgenden:

  • Microsoft Entra ID-Schutz
  • Microsoft Defender für Cloud
  • Microsoft Defender für IoT
  • Microsoft Defender XDR
  • Microsoft Defender for Cloud-Apps
  • Microsoft Defender für den Endpunkt
  • Microsoft Defender for Identity
  • Microsoft Defender für Office 365

Verwenden von Anomalieregeln

Anomalieregeln in Microsoft Sentinel sind standardmäßig verfügbar und aktiviert. Anomalieregeln basieren auf Machine-Learning-Modellen und UEBA, die die Daten in Ihrem Arbeitsbereich zum Trainieren nutzen, um ein anomales Verhalten für Benutzer, Hosts und weitere zu kennzeichnen.

Häufig führt ein Phishingangriff zu einem Ausführungsschritt, bei dem es sich unter anderem um die Manipulation bzw. Steuerung eines lokalen Kontos oder eines Cloudkontos oder die Ausführung schädlicher Skripts handeln könnte. Anomalieregeln suchen genau nach diesen Arten von Aktivitäten, zu denen unter anderem die folgenden zählen:

Überprüfen Sie die Anomalieregeln und den Schwellenwert für den Anomaliescore jeder Regel. Wenn Sie z. B. falsch-positive Ergebnisse beobachten, sollten Sie die Regel duplizieren und den Schwellenwert ändern, indem Sie die in Tune Anomaly Rules beschriebenen Schritte ausführen.

Verwenden der Analyseregel von Microsoft Threat Intelligence

Aktivieren Sie nach der Überprüfung und Änderung von Fusion-Regeln und Anomalieregeln die integrierten Microsoft Threat Intelligence-Analyseregel. Überprüfen Sie, ob diese Regel Ihre Protokolldaten mit den von Microsoft generierten Bedrohungsdaten abgleicht. Microsoft verfügt über ein umfangreiches Repository von Threat Intelligence-Daten, von denen diese Analyseregel eine Teilmenge verwendet, um High-Fidelity-Warnungen und -Incidents zur Selektion durch SOC-Teams (Security Operations Centers) zu generieren.

Führen Sie einen MITRE ATT&CK-Übergang durch

Führen Sie bei aktivierten Fusion-, Anomalie- und Threat Intelligence-Analyseregeln einen MITRE ATT&CK-Übergang durch, der Sie bei der Entscheidung unterstützt, welche verbleibenden Analyseregeln aktiviert werden sollen. Außerdem unterstützt er Sie dabei, die Implementierung eines ausgereiften XDR-Prozesses (Extended Detection and Response) abzuschließen. Dadurch können Sie einen Angriff während seines gesamten Lebenszyklus erkennen und auf diesen reagieren.

Die MITRE ATT&CK-Forschungsabteilung hat die MITRE-Methode erstellt und für eine vereinfachte Implementierung als Teil von Microsoft Sentinel bereitgestellt. Stellen Sie sicher, dass Sie über Analyseregeln verfügen, die den gesamten Ansatz des Angriffsvektors abdecken.

  1. Überprüfen Sie die MITRE-Techniken, die von Ihren vorhandenen aktiven Analyseregeln abgedeckt werden.

  2. Wählen Sie aus der Dropdownliste Simuliert Vorlagen für Analyseregeln und Anomalieregeln aus. Dadurch wird Ihnen angezeigt, welche Taktik und/oder Technik des Angreifers durch Regeln abgedeckt ist und wo Analyseregeln verfügbar sind, die Sie zur Verbesserung Ihrer Abdeckung erwägen sollten.

    Beispiel: Überprüfen Sie die Vorlagen für Analyseregeln für die Technik Phishing, und priorisieren Sie die Aktivierung der Regeln, die die Datenquellen gezielt abfragen, für die Sie ein Onboarding in Microsoft Sentinel durchgeführt haben, um potenzielle Phishingangriffe zu erkennen.

    Im Allgemeinen weist ein durch Menschen durchgeführter Ransomwareangriff fünf Phasen auf. Dabei fällt Phishing unter Anfänglicher Zugriff, wie auf den folgenden Abbildungen veranschaulicht wird:

  3. Fahren Sie mit den verbleibenden Schritten fort, um die gesamte Kill Chain mit den entsprechenden Analyseregeln abzudecken:

    1. Erstzugriff
    2. Diebstahl von Anmeldeinformationen
    3. Laterale Verschiebung
    4. Persistenz
    5. Umgehen von Verteidigungsmaßnahmen
    6. Exfiltration (hier wird die Ransomware selbst entdeckt)

Schulungsinhalte decken Unified Security Operations Platform derzeit nicht ab.

Verbinden von Daten mit Microsoft Sentinel mithilfe von Datenconnectors

Training Verbinden von Daten mit Microsoft Sentinel mithilfe von Datenconnectors
Zum Verbinden von Protokolldaten werden in erster Linie die von Microsoft Sentinel bereitgestellten Datenconnectors verwendet. Dieses Modul liefert einen Überblick über die verfügbaren Datenconnectors.

Verbinden von Protokollen mit Microsoft Sentinel

Training Verbinden von Protokollen mit Microsoft Sentinel
Verknüpfen Sie Daten auf Cloudniveau mit Microsoft Sentinel – benutzerübergreifend, anwendungs- und infrastrukturübergreifend sowie lokal als auch in mehreren Clouds.

Identifizieren von Bedrohungen mithilfe der Verhaltensanalyse

Training Identifizieren von Bedrohungen mit Verhaltensanalysen
Zum Verbinden von Protokolldaten werden in erster Linie die von Microsoft Sentinel bereitgestellten Datenconnectors verwendet. Dieses Modul liefert einen Überblick über die verfügbaren Datenconnectors.

Nächste Schritte

Fahren Sie mit Schritt 4 fort, um auf einen Zwischenfall zu reagieren.

Abbildung der Schritte zur Microsoft Sentinel- und XDR-Lösung. Schritt 4 ist hervorgehoben.