Bereitstellungshandbuch für Microsoft Sentinel
In diesem Artikel werden die Aktivitäten vorgestellt, die Ihnen bei der Planung, Bereitstellung und Optimierung Ihrer Microsoft Sentinel-Bereitstellung helfen.
Übersicht über Planung und Vorbereitung
In diesem Abschnitt werden die Aktivitäten und Voraussetzungen vorgestellt, die Ihnen bei der Planung und Vorbereitung vor der Bereitstellung von Microsoft Sentinel helfen.
Die Planungs- und Vorbereitungsphase wird in der Regel von einem SOC-Architekten oder einer Person mit einer ähnlichen Rolle ausgeführt.
| Schritt | Details |
|---|---|
| 1. Übersicht über Planung und Vorbereitung und Voraussetzungen | Sehen Sie sich die Voraussetzungen für den Azure-Mandanten an. |
| 2. Planen der Arbeitsbereichsarchitektur | Entwerfen Sie Ihren Log Analytics-Arbeitsbereich, der für Microsoft Sentinel aktiviert ist. Berücksichtigen Sie dabei z. B. folgende Parameter: - Verwendung eines einzelnen oder mehrerer Mandanten - Sämtliche Konformitätsanforderungen für die Datensammlung und -speicherung - Steuern des Zugriffs auf Microsoft Sentinel-Daten Lesen Sie diese Artikel: 1. Entwerfen der Arbeitsbereichsarchitektur 3. Microsoft Sentinel-Beispielarbeitsbereichsentwürfe 4. Vorbereiten mehrerer Arbeitsbereiche und Mandanten in Microsoft Sentinel |
| 3. Priorisieren von Datenconnectors | Bestimmen Sie die erforderlichen Datenquellen und die Anforderungen an die Datengröße, damit Sie das Budget und den zeitlichen Rahmen Ihrer Bereitstellung genau planen können. Sie können diese Informationen während der Analyse Ihres geschäftlichen Anwendungsfalls oder durch Auswertung eines bereits vorhandenen SIEM-Systems ermitteln. Wenn Sie bereits über ein SIEM-System verfügen, können Sie Ihre Daten analysieren, um besser zu verstehen, welche Datenquellen den größten Nutzen bieten und in Microsoft Sentinel erfasst werden sollten. |
| 4. Planen von Rollen und Berechtigungen | Verwenden Sie die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC), um Rollen innerhalb Ihres Security Operations-Teams zu erstellen und zuzuweisen und damit angemessenen Zugriff auf Microsoft Sentinel zu ermöglichen. Mithilfe der verschiedenen Rollen können Sie präzise steuern, was Benutzer von Microsoft Sentinel anzeigen und welche Aktionen sie ausführen können. Azure-Rollen können direkt im Arbeitsbereich oder in einem Abonnement bzw. einer Ressourcengruppe zugewiesen werden, zu dem bzw. der der Arbeitsbereich gehört, der von Microsoft Sentinel geerbt wird. |
| 5. Planen der Kosten | Beginnen Sie mit der Planung Ihres Budgets, und berücksichtigen Sie dabei die Kostenauswirkungen für jedes geplante Szenario. Stellen Sie sicher, dass Ihr Budget die Kosten für die Datenerfassung sowohl für Microsoft Sentinel als auch für Azure Log Analytics sowie für alle bereitgestellten Playbooks usw. abdeckt. |
Übersicht über die Bereitstellung
Die Bereitstellungsphase wird in der Regel von einem SOC-Analysten oder einer Person mit einer ähnlichen Rolle durchgeführt.
| Schritt | Details |
|---|---|
| 1. Aktivieren von Microsoft Sentinel, Integrität und Überwachung sowie Inhalten | Aktivieren Sie Microsoft Sentinel, das Integritäts- und Überwachungsfeature sowie die Lösungen und Inhalte, die Sie gemäß den Anforderungen Ihrer Organisation ermittelt haben. Informationen zum Onboarding in Microsoft Sentinel mithilfe der API finden Sie in der neuesten unterstützten Version von Sentinel Onboarding States. |
| 2. Konfigurieren von Inhalten | Konfigurieren Sie die verschiedenen Arten von Microsoft Sentinel-Sicherheitsinhalten, mit denen Sie Sicherheitsbedrohungen in Ihren Systemen erkennen und überwachen und auf diese reagieren können: Datenconnectors, Analyseregeln, Automatisierungsregeln, Playbooks, Arbeitsmappen und Watchlists. |
| 3. Einrichten einer arbeitsbereichsübergreifenden Architektur | Wenn Ihre Umgebung mehrere Arbeitsbereiche erfordert, können Sie diese jetzt im Rahmen Ihrer Bereitstellung einrichten. In diesem Artikel erfahren Sie, wie Sie Microsoft Sentinel für mehrere Arbeitsbereiche und Mandanten einrichten. |
| 4. Aktivieren von User and Entity Behavior Analytics (UEBA) | Aktivieren und verwenden Sie das UEBA-Feature, um den Analyseprozess zu optimieren. |
| 5. Einrichten von interaktiver und langfristiger Datenaufbewahrung | Richten Sie interaktive und langfristige Datenaufbewahrung ein, um sicherzustellen, dass Ihre Organisation die Daten aufbewahrt, die langfristig wichtig sind. |
Optimierung und Überprüfung: Checkliste nach der Bereitstellung
Gehen Sie die Checkliste nach der Bereitstellung durch, mit der Sie sicherstellen können, dass Ihr Bereitstellungsprozess wie erwartet funktioniert und dass die bereitgestellten Sicherheitsinhalte funktionieren und Ihre Organisation entsprechend Ihren Anforderungen und Anwendungsfällen schützen.
Die Optimierungs- und Überprüfungsphase wird in der Regel von SOC-Techniker*innen (Security Operations Center) oder Benutzer*innen mit verwandten Rollen durchgeführt.
| Schritt | Aktionen |
|---|---|
| ✅Überprüfen der Incidents und des Incidentprozesses | - Überprüfen Sie, ob die angezeigten Incidents bzw. Vorfälle und ihre Anzahl den tatsächlichen Vorgängen in Ihrer Umgebung entsprechen. - Überprüfen Sie, ob der Incidentprozess Ihres SOC funktioniert und Incidents effizient behandelt: Haben Sie verschiedenen Ebenen des SOC unterschiedliche Incidenttypen zugewiesen? Erfahren Sie mehr darüber, wie Sie durch Incidents navigieren und sie untersuchen und mit Incidentaufgaben arbeiten. |
| ✅Überprüfen und Optimieren der Analyseregeln | - Überprüfen Sie basierend auf Ihrer Incidentüberprüfung, ob Ihre Analyseregeln wie erwartet ausgelöst werden und ob die Regeln die Incidenttypen widerspiegeln, die für Sie von Interesse sind. - Behandeln Sie False Positives entweder mithilfe der Automatisierung oder durch Ändern geplanter Analyseregeln. - Microsoft Sentinel bietet integrierte Optimierungsfunktionen, mit denen Sie Ihre Analyseregeln analysieren können. Überprüfen Sie diese integrierten Erkenntnisse, und implementieren Sie relevante Empfehlungen. |
| ✅Überprüfen der Automatisierungsregeln und Playbooks | - Überprüfen Sie ähnlich wie bei den Analyseregeln, ob Ihre Automatisierungsregeln wie erwartet funktionieren und die Incidents widerspiegeln, die für Sie von Interesse sind. - Überprüfen Sie, ob Ihre Playbooks wie erwartet auf Warnungen und Incidents reagieren. |
| ✅Hinzufügen von Daten zu Watchlists | Überprüfen Sie, ob Ihre Watchlists auf dem neuesten Stand sind. Falls es in Ihrer Umgebung Änderungen gegeben hat (z. B. neue Benutzer*innen oder Anwendungsfälle), aktualisieren Sie Ihre Watchlists entsprechend. |
| ✅Überprüfen der Mindestabnahmen | Überprüfen Sie die Mindestabnahmen, die Sie ursprünglich eingerichtet haben, und vergewissern Sie sich, dass diese Ihrer aktuellen Konfiguration entsprechen. |
| ✅Nachverfolgen der Erfassungskosten | Verwenden Sie eine der folgenden Arbeitsmappen, um die Erfassungskosten nachzuverfolgen: - Die Arbeitsmappe Bericht zur Arbeitsbereichsnutzung stellt Datennutzungs-, Kosten- und Nutzungsstatistiken für Ihren Arbeitsbereich bereit. Die Arbeitsmappe gibt den Status der Datenerfassung im Arbeitsbereich und die Menge der kostenlosen und abrechenbaren Daten an. Sie können mithilfe der Arbeitsmappenlogik Datenerfassung und Kosten überwachen sowie benutzerdefinierte Ansichten und regelbasierte Warnungen erstellen. - Die Arbeitsmappe Microsoft Sentinel – Kosten bietet einen genaueren Überblick über die Kosten von Microsoft Sentinel, einschließlich Erfassungs- und Aufbewahrungsdaten, Erfassungsdaten für berechtigte Datenquellen, Abrechnungsinformationen für Logic Apps usw. |
| ✅Optimieren der Datensammlungsregeln | - Überprüfen Sie, ob Ihre Datensammlungsregeln (Data Collection Rules, DCRs) Ihren Datenerfassungsanforderungen und Anwendungsfällen entsprechen. - Implementieren Sie ggf. die Transformation zur Erfassungszeit, um irrelevante Daten herauszufiltern, bevor sie zum ersten Mal in Ihrem Arbeitsbereich gespeichert werden. |
| ✅Überprüfen der Analyseregeln mit dem MITRE-Framework | Überprüfen Sie Ihre MITRE-Abdeckung auf der Seite „MITRE“ in Microsoft Sentinel: Zeigen Sie die bereits in Ihrem Arbeitsbereich aktiven Erkennungen sowie die zur Konfiguration verfügbaren Erkennungen an, um die Sicherheitsabdeckung Ihrer Organisation basierend auf den Taktiken und Methoden des MITRE ATT&CK®-Frameworks, zu verstehen. |
| ✅Suchen nach verdächtigen Aktivitäten | Stellen Sie sicher, dass Ihr SOC über einen Prozess für die proaktive Bedrohungssuche verfügt. Die Suche ist ein Prozess, bei dem Sicherheitsanalyst*innen nach nicht erkannten Bedrohungen und schädlichen Verhalten suchen. Sie erstellen hierzu eine Hypothese, durchsuchen Daten und validieren die Hypothese, um zu bestimmen, für welche Ergebnisse Maßnahmen ergriffen werden. Diese Maßnahmen können das Erstellen neuer Erkennungen oder Threat Intelligence oder das Einrichten eines neuen Incidents umfassen. |
Verwandte Artikel
In diesem Artikel haben Sie die Aktivitäten in den einzelnen Phasen kennengelernt, die Ihnen bei der Bereitstellung von Microsoft Sentinel helfen.
Je nachdem, in welcher Phase Sie sich befinden, wählen Sie die entsprechenden nächsten Schritte aus:
- Planen und Vorbereiten – Voraussetzungen für die Bereitstellung von Azure Sentinel
- Bereitstellen – Aktivieren von Microsoft Sentinel sowie anfänglicher Features und Inhalte
- Optimieren und Überprüfen – Navigieren zu und Untersuchen von Incidents mit Microsoft Sentinel
Wenn Sie mit der Bereitstellung von Microsoft Sentinel fertig sind, erkunden Sie die Microsoft Sentinel-Funktionen, indem Sie die Tutorials zu allgemeinen Aufgaben durcharbeiten:
- Weiterleiten von Syslog-Daten an einen Log Analytics-Arbeitsbereich mit Microsoft Sentinel mithilfe des Azure Monitor-Agents
- Konfigurieren der Aufbewahrung auf Tabellenebene
- Erkennen von Bedrohungen mithilfe von Analyseregeln
- Automatisches Überprüfen und Aufzeichnen von Informationen zur Zuverlässigkeit von IP-Adressen in Incidents
- Reagieren auf Bedrohungen mithilfe von Automatisierung
- Extrahieren von Vorfallsentitäten mit nicht nativen Aktionen
- Untersuchen mit UEBA
- Erstellen und Überwachen einer Zero Trust-Instanz
Lesen Sie den Microsoft Sentinel-Betriebsleitfaden für die regelmäßigen SOC-Aktivitäten, die Sie täglich, wöchentlich und monatlich durchführen sollten.