Threat Intelligence für Azure Arc-fähige Server mit Microsoft Sentinel
Die SOC-Analyst*innen (Security Operations Center) von Tailwind Traders haben Schwierigkeiten, ihre Umgebung mit den verschiedenen SIEM- und SOAR-Lösungen zu bewerten. In dieser Lerneinheit erfahren Sie, wie Azure Arc-fähige Server zusammen mit Microsoft Sentinel, einer SIEM- und SOAR-Lösung, mit hybriden und Multi-Cloud-Umgebungen Schritt halten können.
Übersicht über Microsoft Sentinel
Microsoft Sentinel ist eine skalierbare, cloudnative Lösung für Security Information and Event Management (SIEM) und Sicherheitsorchestrierung, Automation, Reaktion (Security Orchestration, Automation, and Response, SOAR). Microsoft Sentinel stellt Threat Intelligence für das gesamte Unternehmen zur Verfügung und bietet eine einheitliche Lösung zur Angriffserkennung, für das proaktive Hunting und die Reaktion auf Bedrohungen.
Mit Microsoft Sentinel können Sie Ihr gesamtes Unternehmen sozusagen aus der Vogelperspektive beobachten und die immer komplexeren Angriffe mit Unmengen von Warnungen und lang andauernden Lösungsversuchen leichter in den Griff bekommen.
- Sammeln Sie Daten auf Cloudebene über alle Benutzer, Geräte, Anwendungen und Infrastrukturen hinweg, lokal und in mehreren Clouds.
- Ermitteln Sie bisher unentdeckte Bedrohungen, und minimieren Sie falsch positive Ergebnisse mithilfe der Analysefunktionen und der einzigartigen Threat Intelligence von Microsoft.
- Untersuchen Sie Bedrohungen mit künstlicher Intelligenz, und suchen Sie im großen Stil nach verdächtigen Aktivitäten. Dabei profitieren Sie von der jahrelangen Erfahrung von Microsoft in Sachen Cybersicherheit.
- Reagieren Sie dank der integrierten Orchestrierung und Automatisierung häufiger Aufgaben schnell auf Incidents.
Daten verbinden
Zum Integrieren von Microsoft Sentinel müssen Sie zuerst eine Verbindung mit Ihren Sicherheitsdatenquellen herstellen.
Microsoft Sentinel verfügt über viele Connectors für Microsoft-Lösungen, die sofort verfügbar sind und Echtzeitintegration bieten. Zu den integrierten Connectors von Microsoft Sentinel gehören Microsoft 365-Quellen, Microsoft Entra ID, Microsoft Defender for Identity und Microsoft Defender for Cloud Apps. Außerdem stehen integrierte Connectors für Sicherheitslösungen von anderen Anbietern als Microsoft zur Verfügung.
Zu den relevanten Datenconnectors für Azure Arc-fähige Server können Sicherheitsereignisse über den Legacy-Agent, Windows-Sicherheitsereignisse über AMA oder Syslog gehören.
Arbeitsmappen und Analysen
Nachdem Sie Ihre Datenquellen mit Microsoft Sentinel verbunden haben, können Sie die Daten mithilfe der Microsoft Sentinel-Integration mit Azure Monitor-Arbeitsmappen überwachen. Dies sorgt für Flexibilität beim Erstellen benutzerdefinierter Arbeitsmappen. Microsoft Sentinel verfügt außerdem über integrierte Arbeitsmappenvorlagen, mit denen Sie schnell Einblicke in Ihre Daten gewinnen können, sobald Sie eine Verbindung mit einer Datenquelle herstellen.
Um die Anzahl der zu untersuchenden Warnungen zu minimieren, setzt Microsoft Sentinel Analysen ein, mit denen Warnungen zu Incidents korreliert werden können. Incidents sind Gruppen zusammenhängender Warnungen, die zusammen eine möglicherweise handlungsrelevante Bedrohung darstellen, die Sie untersuchen und beheben können. Verwenden Sie die integrierten Korrelationsregeln in unveränderter Form, oder nutzen Sie sie als Ausgangspunkt zum Erstellen eigener Regeln. Microsoft Sentinel bietet auch Regeln für maschinelles Lernen, mit denen Sie das Netzwerkverhalten abbilden und anschließend nach Anomalien bei Ihren Ressourcen suchen können.
Sicherheitsautomatisierung und -orchestrierung
Mit Playbooks, die sowohl in Azure-Dienste als auch Ihre vorhandenen Tools integriert werden können, können Sie häufige Aufgaben automatisieren und die Sicherheitsorchestrierung vereinfachen.
Mit Azure Logic Apps ist die Automatisierungs- und Orchestrierungslösung von Microsoft Sentinel erweiterbar, skalierbar und modernisiert. Zum Erstellen von Playbooks mit Azure Logic Apps steht Ihnen ein ständig wachsender Katalog von integrierten Playbooks zur Verfügung. Der Katalog umfasst mehr als 200 Connectors für Dienste wie Azure Functions. Mit den Connectors können Sie beliebige benutzerdefinierte Logik im Code, in ServiceNow, Jira, Zendesk, HTTP-Anforderungen, Microsoft Teams, Slack, Windows Defender ATP und Defender for Cloud Apps anwenden.
Hunting und Notebooks
Verwenden Sie die auf dem MITRE-Framework basierenden leistungsstarken Hunting- und Abfragetools von Microsoft Sentinel, um proaktiv nach Sicherheitsbedrohungen für die Datenquellen Ihrer Organisation zu suchen, bevor eine Warnung ausgelöst wird. Nachdem Sie ermittelt haben, welche Hunting-Abfrage wertvolle Erkenntnisse zu Angriffen liefert, können Sie auch benutzerdefinierte Erkennungsregeln auf der Grundlage Ihrer Abfrage erstellen und diese Erkenntnisse als Warnungen an Ihre Antwortdienste für Sicherheitsincidents weiterleiten. Während der Suche können Sie Lesezeichen für interessante Ereignisse erstellen. So können Sie später zu diesen Ereignissen zurückkehren, sie für andere Benutzer freigeben und mit anderen korrelierenden Ereignissen gruppieren, um einen überzeugenden Vorfall zur Untersuchung zu schaffen.
Microsoft Sentinel unterstützt Jupyter Notebooks in Azure Machine Learning-Arbeitsbereichen, z. B. umfassende Bibliotheken für maschinelles Lernen, Visualisierung und Datenanalyse. Sie können Notebooks in Microsoft Sentinel verwenden, um die Möglichkeiten zu erweitern, die Ihnen für Microsoft Sentinel-Daten zur Verfügung stehen. Führen Sie beispielsweise Analysen durch, die nicht in Microsoft Sentinel integriert sind, z. B. einige Python-Features für maschinelles Lernen. Erstellen Sie nicht in Microsoft Sentinel integrierte Datenvisualisierungen, z. B. benutzerdefinierte Zeitachsen und Prozessstrukturen, oder integrieren Sie Datenquellen außerhalb von Microsoft Sentinel, z. B. ein lokales Dataset.