Bewährte Verfahren für Microsoft Sentinel

Diese Sammlung von Best Practices bietet Anleitungen für die Bereitstellung, Verwaltung und Verwendung von Microsoft Sentinel, einschließlich Links zu anderen Artikeln für weitere Informationen.

Wichtig

Bevor Sie Microsoft Sentinel bereitstellen, sollten Sie die Vorbereitungsaktivitäten und -voraussetzungen überprüfen und abschließen.

Referenzen für bewährte Praktiken

In der Microsoft Sentinel-Dokumentation finden Sie in verschiedenen Artikeln Hinweise zu bewährten Verfahren. Zusätzlich zu den Inhalten in diesem Artikel finden Sie weitere Informationen in den folgenden Artikeln:

• Administratorbenutzer:

  • Aktivitäten vor der Bereitstellung und Voraussetzungen für die Bereitstellung von Microsoft Sentinel
  • Bewährte Methoden für die Microsoft Sentinel-Arbeitsbereichsarchitektur
  • Entwerfen der Microsoft Sentinel-Arbeitsbereichsarchitektur
  • Microsoft Sentinel sample workspace designs
  • Bewährte Methoden für die Datensammlung
  • Microsoft Sentinel Kosten und Abrechnung
  • Berechtigungen in Microsoft Sentinel
  • Schutz des geistigen Eigentums von MSSP in Microsoft Sentinel
  • Integration von Threat Intelligence in Microsoft Sentinel
  • Microsoft Sentinel-Inhalte und -Lösungen
  • Microsoft Sentinel-Abfragen und -Aktivitäten prüfen

• Analysten:

  • Empfohlene Playbooks
  • Handhabung von Fehlalarmen in Microsoft Sentinel
  • Jagd auf Bedrohungen mit Microsoft Sentinel
  • Häufig verwendete Microsoft Sentinel-Arbeitsmappen
  • Standardmäßig verfügbare Erkennung von Bedrohungen
  • Erstellen benutzerdefinierter Analyseregeln zum Erkennen von Bedrohungen
  • Aufspüren von Sicherheitsrisiken mit Jupyter Notebook

Weitere Informationen finden Sie auch in unserem Video: Architecting SecOps for Success: Best Practices for Deploying Microsoft Sentinel

Durchzuführende reguläre SOC-Aktivitäten

Planen Sie die folgenden Microsoft Sentinel-Aktivitäten regelmäßig ein, um eine kontinuierliche Anwendung bewährter Sicherheitsverfahren zu gewährleisten:

Tägliche Aufgaben

• Selektieren und Untersuchen von Incidents. Überprüfen Sie die Seite Vorfälle von Microsoft Sentinel, um nach neuen Vorfällen zu suchen, die von den derzeit konfigurierten Analyseregeln generiert wurden, und beginnen Sie mit der Untersuchung neuer Vorfälle. Weitere Informationen finden Sie unter Tutorial: Untersuchen von Vorfällen mit Microsoft Sentinel.

• Untersuchen Sie Hunting-Abfragen und Textmarken. Untersuchen Sie die Ergebnisse für alle integrierten Abfragen, und aktualisieren Sie vorhandene Hunting-Abfragen und Textmarken. Generieren Sie manuell neue Incidents, oder aktualisieren Sie ggf. alte Incidents. Weitere Informationen finden Sie unter:

  • Automatisches Erstellen von Incidents aus Microsoft-Sicherheitswarnungen
  • Jagd auf Bedrohungen mit Microsoft Sentinel
  • Verfolgen Sie Daten während der Jagd mit Microsoft Sentinel

• Analyseregeln. Überprüfen und aktivieren Sie ggf. neue Analyseregeln, einschließlich neu veröffentlichter oder neu verfügbarer Regeln von kürzlich verbundenen Datenconnectors.

• Datenconnectors. Überprüfen Sie den Status, das Datum und die Uhrzeit des letzten Protokolls, das von jedem Datenconnector empfangen wurde, um sicherzustellen, dass Daten fließen. Überprüfen Sie, ob neue Connectors verfügbar sind, und überprüfen Sie die Erfassung, um sicherzustellen, dass die festgelegten Grenzwerte nicht überschritten wurden. Weitere Informationen finden Sie unter Bewährte Methoden für Datensammlungen und Verbinden von Datenquellen.

• Log Analytics-Agent Stellen Sie sicher, dass Server und Arbeitsstationen aktiv mit dem Arbeitsbereich verbunden sind, und behandeln und beheben Sie Verbindungsfehler. Weitere Informationen finden Sie unter Log Analytics – Übersicht über Agents.

• Playbookfehler. Überprüfen Sie den Status der Playbook-Ausführung, und beheben Sie Fehler. Weitere Informationen finden Sie unter Tutorial: Verwendung von Playbooks mit Automatisierungsregeln in Microsoft Sentinel.

Wöchentliche Aufgaben

• Inhaltsüberprüfung von Lösungen oder eigenständigen Inhalten. Rufen Sie alle Inhaltsupdates für Ihre installierten Lösungen oder eigenständigen Inhalte vom Content Hub ab. Überprüfen Sie neue Lösungen oder eigenständige Inhalte, die für Ihre Umgebung von Bedeutung sein könnten, z. B. Analyseregeln, Arbeitsmappen, Suchabfragen oder Playbooks.

• Microsoft Sentinel-Überprüfung. Überprüfen Sie die Aktivitäten von Microsoft Sentinel, um festzustellen, wer Ressourcen wie Analyseregeln, Lesezeichen usw. aktualisiert oder gelöscht hat. Weitere Informationen finden Sie unter Audit Microsoft Sentinel Abfragen und Aktivitäten.

Monatliche Aufgaben

• Überprüfen Sie den Benutzerzugriff. Überprüfen Sie Berechtigungen für Ihre Benutzer, und prüfen Sie auf inaktive Benutzer. Weitere Informationen finden Sie unter Berechtigungen in Microsoft Sentinel.

• Überprüfen des Log Analytics-Arbeitsbereichs. Überprüfen Sie, ob die Datenaufbewahrungsrichtlinie des Log Analytics-Arbeitsbereichs weiterhin mit der Richtlinie Ihrer Organisation in Einklang steht. Weitere Informationen finden Sie unter Datenaufbewahrungsrichtlinie und Integrieren von Azure Data Explorer für die langfristige Protokollaufbewahrung.

Integrieren in Microsoft-Sicherheitsdienste

Microsoft Sentinel wird durch die Komponenten gestärkt, die Daten an Ihren Arbeitsbereich senden, und wird durch die Integration mit anderen Microsoft-Diensten gestärkt. Alle Protokolle, die in Produkte wie Microsoft Defender for Cloud Apps, Microsoft Defender for Endpoint und Microsoft Defender for Identity eingespeist werden, ermöglichen es diesen Diensten, Erkennungen zu erstellen und diese Erkennungen wiederum an Microsoft Sentinel weiterzuleiten. Protokolle können auch direkt in Microsoft Sentinel eingelesen werden, um ein umfassenderes Bild von Ereignissen und Vorfällen zu erhalten.

Die folgende Abbildung zeigt zum Beispiel, wie Microsoft Sentinel Daten von anderen Microsoft-Diensten und Multi-Cloud- und Partnerplattformen aufnimmt, um Ihre Umgebung abzudecken:

Microsoft Sentinel ist mehr als nur das Erfassen von Warnungen und Protokollen aus anderen Quellen, sondern auch:

• Verwendet die Informationen, die erfasst werden, mit maschinellem Lernen , um bessere Ereigniskorrelation, Warnungsaggregation, Anomalieerkennung und vieles mehr zu ermöglichen.
• Erstellt und präsentiert interaktive visuelle Elemente über Arbeitsmappen und zeigt Trends, verwandte Informationen und wichtige Daten an, die sowohl für Administratoraufgaben als auch für Untersuchungen verwendet werden.
• Führt Playbooks aus, um auf Warnungen zu reagieren, Informationen zu sammeln, Aktionen für Elemente durchzuführen und Benachrichtigungen an verschiedene Plattformen zu senden.
• Integration in Partnerplattformen wie ServiceNow und Jira, um wichtige Dienste für SOC-Teams zu bieten.
• Erfassung und Abruf von Anreicherungsfeeds von Threat Intelligence-Plattformen, um wertvolle Daten für die Untersuchung zu erhalten.

Anzeigen von und Reagieren auf Incidents

Die folgende Abbildung zeigt die empfohlenen Schritte in einem Incident Management- und Reaktionsprozess.

Die folgenden Abschnitte enthalten allgemeine Beschreibungen zur Verwendung der Azure Sentinel-Funktionen für Incident Management und Reaktion während des gesamten Prozesses. Weitere Informationen finden Sie unter Tutorial: Untersuchen von Vorfällen mit Microsoft Sentinel.

Verwenden der Seite „Incidents“ und des Untersuchungsdiagramms

Starten Sie einen beliebigen Triage-Prozess für neue Vorfälle auf der Seite Microsoft Sentinel Vorfälle in Microsoft Sentinel und dem Untersuchungsdiagramm.

Entdecken Sie wichtige Entitäten wie Konten, URLs, IP-Adressen, Hostnamen, Aktivitäten, Zeitachsen und vieles mehr. Verwenden Sie diese Daten, um zu verstehen, ob ein falsch positives Ergebnis vorliegt. In diesem Fall können Sie den Incident direkt schließen.

Alle generierten Incidents werden auf der Seite Incidents angezeigt, die als zentraler Ort für die Selektierung und frühe Untersuchung dient. Auf der Seite Incidents werden der Titel, der Schweregrad und die zugehörigen Warnungen, Protokolle und relevanten Entitäten aufgeführt. Incidents bieten auch einen schnellen Einblick in gesammelte Protokolle und alle Tools im Zusammenhang mit dem Incident.

Die Seite Incidents arbeitet mit dem Untersuchungsdiagramm zusammen, einem interaktiven Tool, mit dem Benutzer eine Warnung untersuchen und genau analysieren können, um den gesamten Umfang eines Angriffs zu erkennen. Benutzer können dann eine Zeitachse von Ereignissen erstellen und das Ausmaß einer Bedrohungskette entdecken.

Wenn Sie feststellen, dass der Incident True Positive ist, können Sie direkt auf der Seite Incidents Maßnahmen ergreifen, um Protokolle, Entitäten und die Bedrohungskette zu untersuchen. Nachdem Sie die Bedrohung identifiziert und einen Aktionsplan erstellt haben, verwenden Sie andere Tools in Microsoft Sentinel und andere Microsoft-Sicherheitsdienste, um die Untersuchung fortzusetzen.

Behandeln von Incidents mit Arbeitsmappen

Neben der Visualisierung und Darstellung von Informationen und Trends sind die Arbeitsmappen von Microsoft Sentinel wertvolle Ermittlungsinstrumente.

Verwenden Sie beispielsweise die Arbeitsmappe Erkenntnisse aus Ermittlungen, um bestimmte Incidents zusammen mit allen zugeordneten Entitäten und Warnungen zu untersuchen. Mit dieser Arbeitsmappe können Sie Entitäten eingehender analysieren, indem Sie zugehörige Protokolle, Aktionen und Warnungen anzeigen.

Behandeln von Incidents mit Bedrohungssuche

Führen Sie beim Untersuchen und Suchen nach Ursachen integrierte Bedrohungssucheabfragen aus, und überprüfen Sie die Ergebnisse auf Anzeichen einer Gefährdung.

Verwenden Sie den Livestream während einer Untersuchung oder nachdem Sie Schritte zur Behebung und Beseitigung der Bedrohung unternommen haben, um in Echtzeit zu überwachen, ob noch böswillige Ereignisse vorhanden sind oder diese noch andauern.

Behandeln von Incidents mit Entitätsverhalten

Das Verhalten von Entitäten in Microsoft Sentinel ermöglicht es Benutzern, Aktionen und Warnungen für bestimmte Entitäten zu überprüfen und zu untersuchen, z. B. die Untersuchung von Konten und Hostnamen. Weitere Informationen finden Sie unter

• Aktivieren Sie User and Entity Behavior Analytics (UEBA) in Microsoft Sentinel
• Untersuchen von Incidents mit UEBA-Daten
• Microsoft Sentinel UEBA Anreicherungen Referenz

Behandeln von Incidents mit Watchlists und Threat Intelligence

Um Erkennungen zu maximieren, die auf Threat Intelligence basieren, stellen Sie sicher, dass Sie Threat Intelligence-Datenconnectors verwenden, um Anzeichen für Kompromittierung zu erfassen:

• Verbinden von Datenquellen, die für die Fusion- und TI Map-Warnungen erforderlich sind
• Erfassen von Indikatoren von TAXII- und TIP-Plattformen

Verwenden Sie Indikatoren für Kompromittierung in Analyseregeln, bei der Bedrohungssuche, beim Untersuchen von Protokollen oder Generieren von weiteren Incidents.

Verwenden Sie eine Watchlist, die Daten aus den erfassten Daten und externen Quellen kombiniert, z. B. Anreicherungsdaten. Erstellen Sie beispielsweise Listen mit IP-Adressbereichen, die von Ihrer Organisation oder kürzlich ausgeschiedenen Mitarbeitern verwendet werden. Verwenden Sie Watchlists mit Playbooks, um Anreicherungsdaten zu sammeln und schädliche IP-Adressen beispielsweise Watchlists hinzuzufügen, die während der Erkennung, Bedrohungssuche und bei Untersuchungen verwendet werden.

Verwenden Sie während eines Incidents Watchlists mit Untersuchungsdaten, und löschen Sie diese dann, wenn Ihre Untersuchung abgeschlossen ist, um sicherzustellen, dass vertrauliche Daten nicht angezeigt werden.

Nächste Schritte

Erste Schritte mit Microsoft Sentinel finden Sie unter:

• Integrierter Microsoft Sentinel
• Einblick in Warnungen