Bewährte Verfahren für Microsoft Sentinel
Anleitungen zu bewährten Methoden finden Sie in der gesamten technischen Dokumentation für Microsoft Sentinel. In diesem Artikel werden einige wichtige Punkte für die Bereitstellung, Verwaltung und Verwendung von Microsoft Sentinel erläutert.
Wichtig
Microsoft Sentinel ist als Teil der vereinheitlichten Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Microsoft Sentinel im Defender-Portal wird jetzt für die Verwendung in der Produktion unterstützt. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Einrichten von Microsoft Sentinel
Beginnen Sie mit dem Bereitstellungshandbuch für Microsoft Sentinel. Das Bereitstellungshandbuch behandelt die allgemeinen Schritte zum Planen, Bereitstellen und Optimieren Ihrer Microsoft Sentinel-Bereitstellung. Wählen Sie in diesem Handbuch die bereitgestellten Links aus, um detaillierte Anleitungen für jede Phase in Ihrer Bereitstellung zu finden.
Integration von Microsoft-Sicherheitsdiensten
Microsoft Sentinel wird durch die Komponenten gestärkt, die Daten an Ihren Arbeitsbereich senden, und wird durch die Integration mit anderen Microsoft-Diensten gestärkt. Alle Protokolle, die in Produkte wie Microsoft Defender for Cloud-Apps, Microsoft Defender for Endpoint und Microsoft Defender for Identity eingespeist werden, ermöglichen es diesen Diensten, Erkennungen zu erstellen und diese Erkennungen wiederum an Microsoft Sentinel weiterzuleiten. Protokolle können auch direkt in Microsoft Sentinel eingelesen werden, um ein umfassenderes Bild von Ereignissen und Vorfällen zu erhalten.
Die folgende Abbildung zeigt zum Beispiel, wie Microsoft Sentinel Daten von anderen Microsoft-Diensten und Multicloud- und Partnerplattformen aufnimmt, um Ihre Umgebung abzudecken:
Microsoft Sentinel ist mehr als nur das Erfassen von Warnungen und Protokollen aus anderen Quellen, sondern auch:
- Verwendet die Informationen, die erfasst werden, mit maschinellem Lernen , um bessere Ereigniskorrelation, Warnungsaggregation, Anomalieerkennung und vieles mehr zu ermöglichen.
- Erstellt und präsentiert interaktive visuelle Elemente über Arbeitsmappen und zeigt Trends, verwandte Informationen und wichtige Daten an, die sowohl für Administratoraufgaben als auch für Untersuchungen verwendet werden.
- Führt Playbooks aus, um auf Warnungen zu reagieren, Informationen zu sammeln, Aktionen für Elemente durchzuführen und Benachrichtigungen an verschiedene Plattformen zu senden.
- Integration in Partnerplattformen wie ServiceNow und Jira, um wichtige Dienste für SOC-Teams zu bieten.
- Erfassung und Abruf von Anreicherungsfeeds von Threat Intelligence-Plattformen, um wertvolle Daten für die Untersuchung zu erhalten.
Weitere Informationen zum Integrieren von Daten aus anderen Diensten oder Anbietern finden Sie unter Microsoft Sentinel-Datenconnectors.
Erwägen Sie das Onboarding von Microsoft Sentinel in das Microsoft Defender-Portal, um Funktionen wie der Vorfallverwaltung und der erweiterten Bedrohungssuche mit Microsoft Defender XDR zu vereinheitlichen. Weitere Informationen finden Sie in den folgenden Artikeln:
- Verbinden von Microsoft Sentinel mit Microsoft Defender XDR
- Microsoft Sentinel im Microsoft Defender-Portal
Vorfallverwaltung und Reaktion
Die folgende Abbildung zeigt die empfohlenen Schritte in einem Incident Management- und Reaktionsprozess.
Die folgende Tabelle enthält allgemeine Beschreibungen für die Verwendung von Microsoft Sentinel-Funktionen für die Vorfallverwaltung und Reaktion. Weitere Informationen finden Sie unter Untersuchen von Vorfällen mit Microsoft Sentinel.
| Funktion | Best Practice |
|---|---|
| Vorfälle | Alle generierten Incidents werden auf der Seite Incidents angezeigt, die als zentraler Ort für die Selektierung und frühe Untersuchung dient. Auf der Seite Incidents werden der Titel, der Schweregrad und die zugehörigen Warnungen, Protokolle und relevanten Entitäten aufgeführt. Incidents bieten auch einen schnellen Einblick in gesammelte Protokolle und alle Tools im Zusammenhang mit dem Incident. |
| Untersuchungsdiagramm | Die Seite Incidents arbeitet mit dem Untersuchungsdiagramm zusammen, einem interaktiven Tool, mit dem Benutzer eine Warnung untersuchen und genau analysieren können, um den gesamten Umfang eines Angriffs zu erkennen. Benutzer können dann eine Zeitachse von Ereignissen erstellen und das Ausmaß einer Bedrohungskette entdecken. Entdecken Sie wichtige Entitäten wie Konten, URLs, IP-Adressen, Hostnamen, Aktivitäten, Zeitachsen und vieles mehr. Verwenden Sie diese Daten, um zu verstehen, ob ein falsch positives Ergebnis vorliegt. In diesem Fall können Sie den Incident direkt schließen. Wenn Sie feststellen, dass der Incident True Positive ist, können Sie direkt auf der Seite Incidents Maßnahmen ergreifen, um Protokolle, Entitäten und die Bedrohungskette zu untersuchen. Nachdem Sie die Bedrohung identifiziert und einen Aktionsplan erstellt haben, verwenden Sie andere Tools in Microsoft Sentinel und andere Microsoft-Sicherheitsdienste, um die Untersuchung fortzusetzen. |
| Visualisierung von Informationen | Bevor Sie die Vorgänge in Ihrer Umgebung visualisieren und analysieren, sollten Sie zunächst einen Blick auf das Übersichtsdashboard von Microsoft Sentinel werfen, um eine Vorstellung vom Sicherheitsstatus Ihrer Organisation zu bekommen. Weitere Informationen finden Sie unter Visualisieren gesammelter Daten. Abgesehen von den Informationen und Trends auf der Microsoft Sentinel-Übersichtsseite sind Arbeitsmappen wertvolle Untersuchungstools. Verwenden Sie beispielsweise die Arbeitsmappe Erkenntnisse aus Ermittlungen, um bestimmte Incidents zusammen mit allen zugeordneten Entitäten und Warnungen zu untersuchen. Mit dieser Arbeitsmappe können Sie Entitäten eingehender analysieren, indem Sie zugehörige Protokolle, Aktionen und Warnungen anzeigen. |
| Bedrohungssuche | Führen Sie beim Untersuchen und Suchen nach Ursachen integrierte Bedrohungssucheabfragen aus, und überprüfen Sie die Ergebnisse auf Anzeichen einer Gefährdung. Weitere Informationen finden Sie unter Bedrohungssuche in Microsoft Sentinel. Verwenden Sie Livestream während einer Untersuchung oder nachdem Sie Maßnahmen ergriffen haben, um die Bedrohung zu beheben und zu beseitigen. Livestream ermöglicht es Ihnen, in Echtzeit zu überwachen, ob es schädliche Ereignisse gibt oder ob schädliche Ereignisse noch andauern. |
| Entitätsverhalten | Das Verhalten von Entitäten in Microsoft Sentinel ermöglicht es Benutzer*innen, Aktionen und Warnungen für bestimmte Entitäten zu überprüfen und zu untersuchen, z. B. die Untersuchung von Konten und Hostnamen. Weitere Informationen finden Sie unter: - Aktivieren Sie User and Entity Behavior Analytics (UEBA) in Microsoft Sentinel - Untersuchen von Incidents mit UEBA-Daten - Microsoft Sentinel UEBA Anreicherungen Referenz |
| Watchlists | Verwenden Sie eine Watchlist, die Daten aus den erfassten Daten und externen Quellen kombiniert, z. B. Anreicherungsdaten. Erstellen Sie beispielsweise Listen mit IP-Adressbereichen, die von Ihrer Organisation oder kürzlich ausgeschiedenen Mitarbeitern verwendet werden. Verwenden Sie Watchlists mit Playbooks, um Anreicherungsdaten zu sammeln und schädliche IP-Adressen beispielsweise Watchlists hinzuzufügen, die während der Erkennung, Bedrohungssuche und bei Untersuchungen verwendet werden. Verwenden Sie während eines Vorfalls Watchlists mit Untersuchungsdaten, und löschen Sie diese dann, wenn Ihre Untersuchung abgeschlossen ist, um sicherzustellen, dass vertrauliche Daten nicht angezeigt werden. Weitere Informationen finden Sie unter Watchlists in Microsoft Sentinel. |
Durchzuführende reguläre SOC-Aktivitäten
Planen Sie die folgenden Microsoft Sentinel-Aktivitäten regelmäßig ein, um eine kontinuierliche Anwendung bewährter Sicherheitsverfahren zu gewährleisten:
Tägliche Aufgaben
Selektieren und Untersuchen von Incidents. Überprüfen Sie die Seite Vorfälle von Microsoft Sentinel, um nach neuen Vorfällen zu suchen, die von den derzeit konfigurierten Analyseregeln generiert wurden, und beginnen Sie mit der Untersuchung neuer Vorfälle. Weitere Informationen finden Sie unter Untersuchen von Vorfällen mit Microsoft Sentinel.
Untersuchen Sie Hunting-Abfragen und Textmarken. Untersuchen Sie die Ergebnisse für alle integrierten Abfragen, und aktualisieren Sie vorhandene Hunting-Abfragen und Textmarken. Generieren Sie manuell neue Incidents, oder aktualisieren Sie ggf. alte Incidents. Weitere Informationen finden Sie unter:
Analyseregeln. Überprüfen und aktivieren Sie ggf. neue Analyseregeln, einschließlich neu veröffentlichter oder neu verfügbarer Regeln von kürzlich verbundenen Datenconnectors.
Datenconnectors. Überprüfen Sie den Status, das Datum und die Uhrzeit des letzten Protokolls, das von jedem Datenconnector empfangen wurde, um sicherzustellen, dass Daten fließen. Überprüfen Sie, ob neue Connectors verfügbar sind, und überprüfen Sie die Erfassung, um sicherzustellen, dass die festgelegten Grenzwerte nicht überschritten wurden. Weitere Informationen finden Sie unter Bewährte Methoden für Datensammlungen und Verbinden von Datenquellen.
Log Analytics-Agent Stellen Sie sicher, dass Server und Arbeitsstationen aktiv mit dem Arbeitsbereich verbunden sind, und behandeln und beheben Sie Verbindungsfehler. Weitere Informationen finden Sie unter Log Analytics – Übersicht über Agents.
Playbookfehler. Überprüfen Sie den Status der Playbook-Ausführung, und beheben Sie Fehler. Weitere Informationen finden Sie im Tutorial: Reagieren auf Bedrohungen mithilfe von Playbooks mit Automatisierungsregeln in Microsoft Sentinel.
Wöchentliche Aufgaben
Inhaltsüberprüfung von Lösungen oder eigenständigen Inhalten. Rufen Sie alle Inhaltsupdates für Ihre installierten Lösungen oder eigenständigen Inhalte vom Content Hub ab. Überprüfen Sie neue Lösungen oder eigenständige Inhalte, die für Ihre Umgebung von Bedeutung sein könnten, z. B. Analyseregeln, Arbeitsmappen, Suchabfragen oder Playbooks.
Microsoft Sentinel-Überprüfung. Überprüfen Sie die Aktivitäten von Microsoft Sentinel, um festzustellen, wer Ressourcen wie Analyseregeln, Lesezeichen usw. aktualisiert oder gelöscht hat. Weitere Informationen finden Sie unter Audit Microsoft Sentinel Abfragen und Aktivitäten.
Monatliche Aufgaben
Überprüfen Sie den Benutzerzugriff. Überprüfen Sie Berechtigungen für Ihre Benutzer, und prüfen Sie auf inaktive Benutzer. Weitere Informationen finden Sie unter Berechtigungen in Microsoft Sentinel.
Überprüfen des Log Analytics-Arbeitsbereichs. Überprüfen Sie, ob die Datenaufbewahrungsrichtlinie des Log Analytics-Arbeitsbereichs weiterhin mit der Richtlinie Ihrer Organisation in Einklang steht. Weitere Informationen finden Sie unter Datenaufbewahrungsrichtlinie und Integrieren von Azure Data Explorer für die langfristige Protokollaufbewahrung.
Zugehöriger Inhalt
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für