Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Sentinel ist eine skalierbare, Cloud-native Sicherheitsinformations- und Ereignismanagement-Lösung (SIEM) und eine automatisierte Sicherheitsorchestrierungs- und Reaktionslösung (SOAR). Sie bietet intelligente Sicherheitsanalysen und Bedrohungsintelligenz im gesamten Unternehmen. In diesem Dokument werden die Anforderungen und bewährten Methoden beschrieben, die beim Erstellen von Lösungen für Microsoft Sentinel berücksichtigt werden müssen. Einige der Empfehlungen, wie z. B. die Verwendung des Codeless Connector Framework (CCF) zum Erstellen von Datenconnectors, sind Anforderungen, die die Partner erfüllen müssen, damit ihr Code vom Microsoft Sentinel-Team auf GitHub zertifiziert werden kann. Diese Anforderungen werden in diesem Dokument als must-haves klassifiziert. Dieses Dokument enthält auch bewährte Verfahren, die zwar nicht zwingend erforderlich sind, aber dringend empfohlen werden, um Kunden dabei zu unterstützen, die Vorteile ihrer Lösungen optimal auszuschöpfen und die Nutzung Ihrer Produkte und Dienstleistungen zu fördern.
Eine Microsoft Sentinel-Lösung besteht aus mehreren Inhaltselementen, die jeweils einem bestimmten Zweck dienen. Gemeinsam ermöglichen sie Es Kunden, die Lösung schnell zu konfigurieren und innerhalb weniger Minuten mit der Überwachung ihrer Sicherheitsinfrastruktur zu beginnen. Als Nächstes sind die wichtigsten Komponenten aufgeführt, aus denen Microsoft Sentinel-Lösungen bestehen:
- Datenconnectors: Eine gute Microsoft Sentinel-Lösung beginnt mit stabilen Integrationsfunktionen, die eine nahtlose Erfassung von Daten aus verschiedenen Quellen ermöglichen, u. a. aus Clouddiensten, lokalen Systemen und Drittanbieterlösungen. Es ist wichtig, sicherzustellen, dass alle relevanten Protokolle und Telemetriedaten gesammelt werden, um umfassende Einblicke in potenzielle Bedrohungen zu bieten. Stellen Sie sicher, dass die Daten in Tabellen organisiert sind, deren Schema intuitiv und leicht verständlich ist.
- Analyseregeln sind für die Identifizierung verdächtiger Aktivitäten und potenzieller Bedrohungen unerlässlich. Analytische Regeln, die in der Kusto Query Language (KQL) geschrieben wurden, werden auf den von den Datenconnectors abgerufenen Daten ausgeführt, um Anomalien und potenzielle Probleme zu identifizieren. Die erstellten Warnungen werden aggregiert, um Vorfälle in Microsoft Sentinel zu erstellen. Da niemand Als Produktbesitzer Ihre Daten mehr kennt als Sie, ist es wichtig, sicherzustellen, dass Sie eine gute Reihe von Analyseregeln erstellen, die wichtige Bedrohungen identifizieren. Die vordefinierten Analyseregeln, die Sie als Teil Ihrer Lösung versenden, inspirieren Kunden, ihre eigenen zu erstellen.
- Playbooks automatisieren Reaktionsaktionen auf identifizierte Bedrohungen (durch Analyseregeln), um eine schnelle und konsistente Behebung sicherzustellen. Playbooks sind wichtig, um sicherzustellen, dass für die SOC-Analyse zuständigen Personen nicht durch taktische Aufgaben überlastet werden und sich auf die strategischere und tieferliegende Grundursache der Schwachstellen konzentrieren können. Denken Sie beim Entwerfen Ihrer Lösung an die automatisierten Aktionen, die ausgeführt werden können, um Vorfälle zu beheben, die von den in Ihrer Lösung definierten Analyseregeln erstellt wurden.
- Mit Suchabfragen können SOC-Analysten proaktiv nach neuen Anomalien suchen, die von den derzeit geplanten Analyseregeln nicht erkannt werden. Suchabfragen führen SOC-Analysten dazu, die richtigen Fragen zu stellen, um Probleme aus den Daten zu finden, die bereits in Microsoft Sentinel verfügbar sind, und hilft ihnen, potenzielle Bedrohungsszenarien zu identifizieren. Als Product Owner ermöglicht das Erstellen von Jagdabfragen SOC-Analysten, das zugrunde liegende Schema besser zu verstehen und sie zu inspirieren, über neue Szenarien nachzudenken.
- Parser sind KQL-Funktionen, die benutzerdefinierte Daten von Drittanbieterprodukten in ein normalisiertes ASIM-Schema umwandeln. Normalisierung stellt sicher, dass SOC-Analysten keine Details zu neuen Schemas erfahren müssen, und erstellen stattdessen Analyseregeln und Suchabfragen für das normalisierte Schema, mit dem sie bereits vertraut sind. Überprüfen Sie die verfügbaren ASIM-Schemas von Microsoft Sentinel, um relevante ASIM-Schemas (ein oder mehrere) für Ihre Daten zu identifizieren, um das Onboarding für SOC-Analysten zu vereinfachen und sicherzustellen, dass der für das ASIM-Schema geschriebene vorhandene Sicherheitsinhalt für Ihre Produktdaten sofort anwendbar ist. Weitere Informationen zu den verfügbaren ASIM-Schemas finden Sie unter Advanced Security Information Model (ASIM)-Schemas | Microsoft Learn
- Arbeitsmappen bieten interaktive Berichte und Dashboards, mit denen Benutzer Sicherheitsdaten visualisieren und Muster innerhalb von Daten identifizieren können. Die Notwendigkeit von Arbeitsmappen ist subjektiv und hängt vom jeweiligen Anwendungsfall ab. Stellen Sie sich beim Entwerfen Ihrer Lösung Szenarien vor, die visuell am besten erläutert werden können, insbesondere für Szenarien, um die Leistung post hoc nachzuverfolgen.
Datenverbinder
Partner sind verpflichtet, das Codeless Connector Framework (CCF) zum Erstellen von Datenconnectoren zu verwenden. Das Codeless Connector Framework (CCF) bietet Partnern, fortgeschrittenen Benutzern und Entwicklern die Möglichkeit, benutzerdefinierte Connectors zur Datenerfassung in Microsoft Sentinel zu entwickeln. Connectoren, die mit der CCF erstellt wurden, erfordern keine Dienstinstallationen, und die gesamte Infrastruktur zum Abfragen und Abrufen von Daten wird im Hintergrund von Microsoft Sentinel verwaltet. CCF verfügt über eine integrierte Gesundheitsüberwachung, vollständige Unterstützung durch Microsoft Sentinel und skaliert automatisch, um unterschiedliche Aufnahmegrößen zu bewältigen. Mit der CCF-Plattform verfügen Kunden über eine einfache UI-Schnittstelle, über die sie die Aufnahme konfigurieren können, ohne Ressourcen in Azure bereitstellen zu müssen. Kunden werden nicht für die Berechnungskapazität berechnet, die zum Abrufen und Aufnehmen von Daten in Microsoft Sentinel erforderlich ist und nur für Daten berechnet wird, die in Microsoft Sentinel aufgenommen werden.
Vorsicht
Partner müssen das Codeless Connector Framework (CCF) anstelle von Azure-Funktionen für alle neuen Datenconnectors verwenden. Wenn Sie Blocker während der Entwicklung Ihres Datenconnectors aufgrund von Einschränkungen im CCF-Framework finden, melden Sie ein Problem mit dem Titel "CCF-Einschränkungen" unter https://github.com/Azure/Azure-Sentinel/issues. Das Microsoft Sentinel-Team arbeitet mit Ihnen zusammen, um das Problem zu beheben oder eine Problemumgehung bereitzustellen. Wenn das Problem ein Blocker ist, arbeitet das Microsoft Sentinel-Team mit Ihnen zusammen, um eine Ausnahme für Ihren Datenconnector zu erstellen.
Analyseregeln
Partner müssen mindestens eine Analyseregel als Teil ihrer Sentinel-Lösung erstellen . Analytische Regeln stehen im Mittelpunkt des Werts, den eine Microsoft Sentinel-Lösung Kunden bieten kann. Das Abrufen der Daten in Microsoft Sentinel ist nur der erste Schritt. Es ist jedoch wichtig, dass Kunden ihre Sicherheitsinfrastruktur überwachen und über Probleme benachrichtigt werden. Das Abrufen von Daten in Microsoft Sentinel ohne für die Daten geschriebene Erkennungen hätte für Kunden keinen Mehrwert. Um sicherzustellen, dass Kunden eine Microsoft Sentinel-Lösung bereitstellen und mit der Überwachung ihrer Sicherheitsinfrastruktur beginnen können, ist es wichtig, vordefinierte Analyseregeln als Teil der Lösung zu haben. Dadurch wird sichergestellt, dass Kunden direkt nach der Installation und Konfiguration der Microsoft Sentinel-Lösung einen Mehrwert erhalten, ohne dass zusätzlicher Entwicklungsaufwand von ihrer Seite erforderlich ist.
Analyseregeln müssen über geeignete MITRE-Zuordnungen verfügen, um sicherzustellen, dass Kunden ihre Bedrohungsabdeckung in ihrer Sicherheitsinfrastruktur überwachen und visualisieren können. Weitere Informationen finden Sie unter Ansicht der MITRE-Abdeckung Ihrer Organisation durch Microsoft Sentinel | Microsoft Learn. Analyseregeln ohne MITRE-Zuordnung werden während der Zertifizierung abgelehnt.
Beim Erstellen von Analyseregeln ist es wichtig, sicherzustellen, dass die Regeln auf alle Schlüsseldatenspalten zugeschnitten sind, die vom Datenconnector abgerufen werden. Da Kunden für die von ihnen erfassten Daten bezahlen, ist es wichtig, sicherzustellen, dass die Analyseregeln auf alle Daten zugeschnitten sind, die vom Datenkonnektor abgerufen werden. Dadurch wird sichergestellt, dass Kunden keine Gebühren für nicht verwendete Daten berechnet werden.
Stellen Sie beim Erstellen von Analyseregeln, sofern zutreffend, sicher, dass Entitäten der Regelausgabe zugeordnet sind. Das Zuordnen von Regelausgabe zu standardisierten Entitäten stellt sicher, dass die Regelausgabe mit anderen Datenpunkten in Microsoft Sentinel korreliert werden kann, um SOC-Analysten eine umfassendere Bedrohungsgeschichte bereitzustellen. Einige häufige Beispiele für Entitäten sind Benutzerkonten, Hosts, Postfächer, IP-Adressen, Dateien, Cloudanwendungen, Prozesse und URLs. Weitere Informationen zu Entitäten in Microsoft Sentinel finden Sie unter Entitäten in Microsoft Sentinel | Microsoft Learn
Vorsicht
Lösungen müssen mindestens eine Analyseregel beinhalten. Wenn Sie über einen gültigen Grund verfügen, dass keine Analyseregeln in Ihre Lösung eingeschlossen werden, geben Sie Ihre Begründung im Kommentarabschnitt der Pullanforderung an. Das Microsoft Sentinel-Team überprüft Ihre PR und gibt entsprechend Feedback.
Spielbücher
Playbooks werden mit Azure Logic Apps erstellt, die eine einfache Integration in verschiedene Dienste und Anwendungen ermöglichen. Mit dieser Flexibilität können Organisationen benutzerdefinierte Workflows erstellen, die ihren spezifischen Prozessen zur Reaktion auf Vorfälle entsprechen. Mithilfe von Playbooks können Sicherheitsteams sich wiederholende Aufgaben automatisieren, z. B. das Senden von Benachrichtigungen, das Erstellen von Tickets oder das Ausführen von Wartungsaktionen, wodurch der manuelle Aufwand reduziert wird, der für die Reaktion auf Vorfälle erforderlich ist.
Playbooks können durch bestimmte Warnungen oder Vorfälle ausgelöst werden, sodass eine maßgeschneiderte Reaktion auf jede Situation möglich ist. Wenn beispielsweise eine Warnung mit hohem Schweregrad erkannt wird, kann ein Playbook automatisch eine Reihe von Aktionen initiieren, z. B. das Benachrichtigen des Sicherheitsteams, das Isolieren betroffener Systeme und das Sammeln relevanter Protokolle zur weiteren Analyse. Diese Automatisierung beschleunigt nicht nur die Reaktionszeit, sondern stellt auch sicher, dass kritische Maßnahmen konsistent und ohne Verzögerung ausgeführt werden.
Hinweis
Obwohl wir die Verfügbarkeit von Playbooks nicht als Teil der Lösung festlegen, empfehlen wir dringend, Playbooks als Teil Ihrer Lösung einzubeziehen. Playbooks sind wichtig, um sicherzustellen, dass für die SOC-Analyse zuständigen Personen nicht durch taktische Aufgaben überlastet werden und sich auf die strategischere und tieferliegende Grundursache der Schwachstellen konzentrieren können. Denken Sie beim Entwerfen Ihrer Lösung an die automatisierten Aktionen, die ausgeführt werden können, um Vorfälle zu beheben, die von den in Ihrer Lösung definierten Analyseregeln erstellt wurden.
Jagdabfragen
Suchabfragen sind KQL-Abfragen, die verwendet werden, um proaktiv nach potenziellen Bedrohungen und Anomalien in den in Microsoft Sentinel aufgenommenen Daten zu suchen. Diese Abfragen ermöglichen Es Sicherheitsanalysten, die Daten zu untersuchen und Muster oder Verhaltensweisen zu identifizieren, die auf böswillige Aktivitäten hinweisen können. Durch die Verwendung von Suchabfragen können Organisationen vor neuen Bedrohungen bleiben und ihren gesamten Sicherheitsstatus verbessern.
Berücksichtigen Sie beim Erstellen von Jagdabfragen die folgenden bewährten Methoden:
- Verwenden Sie DAS MITRE-Framework, um potenzielle Bedrohungen zu identifizieren: Das MITRE-Framework bietet eine umfassende Reihe von Taktiken, Techniken und Verfahren (TTPs), die verwendet werden können, um potenzielle Bedrohungen in Ihren Daten zu identifizieren. Mithilfe des MITRE-Frameworks können Sie sicherstellen, dass Ihre Suchabfragen mit den bewährten Methoden der Branche übereinstimmen und Ihnen dabei helfen können, potenzielle Bedrohungen effektiver zu erkennen.
- Erstellen Sie Abfragen, die alle wichtigen Datenspalten abdecken, die vom Datenconnector abgerufen werden. Dadurch wird sichergestellt, dass Ihre Hunting-Abfragen umfassend sind und auch Informationen dazu liefern, ob dem Datenconnector neue Datenpunkte hinzugefügt oder ob einige der vorhandenen Datenpunkte entfernt werden müssen.
- Das Einbinden von Threat Intelligence (TI) kann wertvollen Kontext für Ihre Suchabfragen bieten. Wenn Sie Bedrohungsinformationen in Microsoft Sentinel in Ihre Suchabfragen integrieren, stellen Sie sicher, dass die SOC-Analysten wertvollen Kontext haben, um potenzielle Bedrohungen zu identifizieren. Weitere Informationen zur Bedrohungserkennung in Microsoft Sentinel finden Sie unter Threat Intelligence in Microsoft Sentinel | Microsoft Learn.
Hinweis
Obwohl wir die Verfügbarkeit von Suchabfragen nicht als Teil der Lösung festlegen, empfehlen wir dringend, Dass Sie Suchabfragen als Teil Ihrer Lösung einschließen. Das Erstellen von Jagdabfragen ermöglicht SOC-Analysten, das zugrunde liegende Schema besser zu verstehen und sie dazu anregen, über neue Szenarien nachzudenken.
Parser
Parser sind KQL-Funktionen, die benutzerdefinierte Daten von Drittanbieterprodukten in ein normalisiertes ASIM-Schema umwandeln. Normalisierung stellt sicher, dass SOC-Analysten keine Details zu neuen Schemas erfahren müssen, und erstellen stattdessen Analyseregeln und Suchabfragen für das normalisierte Schema, mit dem sie bereits vertraut sind. Überprüfen Sie die verfügbaren ASIM-Schemas von Microsoft Sentinel, um relevante ASIM-Schemas (ein oder mehrere) für Ihre Daten zu identifizieren, um das Onboarding für SOC-Analysten zu vereinfachen und sicherzustellen, dass der für das ASIM-Schema geschriebene vorhandene Sicherheitsinhalt für Ihre Produktdaten sofort anwendbar ist. Weitere Informationen zu den verfügbaren ASIM-Schemas finden Sie unter Advanced Security Information Model (ASIM)-Schemas | Microsoft Learn.
Microsoft Sentinel bietet mehrere integrierte, quellspezifische Parser für viele der Datenquellen. Sie können neue Parser in den folgenden Situationen ändern oder entwickeln:
- Wenn Ihr Gerät Ereignisse bereitstellt, die in ein ASIM-Schema passen, aber ein quellspezifischer Parser für Ihr Gerät und das relevante Schema ist in Microsoft Sentinel nicht verfügbar.
- Wenn quellenspezifische ASIM-Parser für Ihr Gerät verfügbar sind, ihr Gerät jedoch Ereignisse mit einer Methode oder in einem Format sendet, die oder das nicht von den ASIM-Parsern erwartet wird. Beispiel:
- Ihr Quellgerät kann so konfiguriert werden, dass Ereignisse auf nicht standardmäßige Weise gesendet werden.
- Ihr Gerät hat möglicherweise eine andere Version als die vom ASIM-Parser unterstützte.
- Die Ereignisse werden möglicherweise von einem zwischengeschalteten System gesammelt, geändert und weitergeleitet.
- Um zu verstehen, wie Parser in die ASIM-Architektur passen, beziehen Sie sich auf das ASIM-Architekturdiagramm.
Hinweis
Die Verfügbarkeit von Parsern in Ihrer Lösung wird nicht vorgeschrieben. Wenn unser Zertifizierungsteam jedoch erkennt, dass Ihre Daten eng mit einem vorhandenen ASIM-Schema verbunden sind, kann unser Team die Erstellung von Parsern zur Nutzung der Vorteile der Normalisierung beauftragen.
Arbeitsmappen
Arbeitsmappen bieten Benutzern eine Möglichkeit, Daten zur Sicherheit visuell darzustellen und sind effektiv bei der Erkennung von Trends und Anomalien, die genutzt werden können, um den Sicherheitsstatus zu messen und potenzielle Probleme zu identifizieren. Arbeitsmappen können verwendet werden, um Dashboards zu erstellen, die eine allgemeine Übersicht über Sicherheitsdaten bieten, sodass Benutzer schnell Problembereiche identifizieren können. Sie können auch verwendet werden, um einen Drilldown zu bestimmten Datenpunkten zu ermöglichen und eine detailliertere Ansicht von Sicherheitsereignissen und Vorfällen bereitzustellen. Arbeitsmappen können an die spezifischen Anforderungen einer Organisation angepasst werden, sodass Benutzer maßgeschneiderte Ansichten von Sicherheitsdaten erstellen können, die für ihre Rollen und Verantwortlichkeiten relevant sind. Diese Anpassung kann das Filtern von Daten nach bestimmten Kriterien umfassen, z. B. Zeitraum, Schweregrad oder Datenquelle. Durch die Bereitstellung einer flexiblen und anpassbaren Möglichkeit zum Visualisieren von Sicherheitsdaten können Arbeitsmappen Organisationen dabei helfen, ihren Sicherheitsstatus zu verbessern und effektiver auf potenzielle Bedrohungen zu reagieren.
Berücksichtigen Sie beim Erstellen von Arbeitsmappen die folgenden bewährten Methoden:
- Verwenden Sie klare und präzise Titel und Beschreibungen: Stellen Sie sicher, dass die Titel und Beschreibungen Ihrer Arbeitsmappen klar und prägnant sind, sodass Benutzer den Zweck jeder Arbeitsmappe leicht verstehen können.
- Verwenden Sie geeignete Visualisierungen: Wählen Sie den richtigen Visualisierungstyp für die dargestellten Daten aus. Verwenden Sie z. B. Liniendiagramme für Trends im Zeitverlauf, Balkendiagramme für Vergleiche und Tabellen für detaillierte Daten.
- Verwenden Sie Filter und Parameter: Integrieren Sie Filter und Parameter, damit Benutzer die in der Arbeitsmappe angezeigten Daten anpassen können. Dies kann Benutzern helfen, sich auf bestimmte Zeitbereiche, Datenquellen oder andere kriterien zu konzentrieren, die für ihre Anforderungen relevant sind.
- Optimieren der Leistung: Wenn Ihre Arbeitsmappen große Datenmengen verarbeiten, kann sich dies negativ auf die Leistung auswirken. In diesen Fällen ist es ratsam, die Daten mithilfe von Zusammenfassungsregeln zu aggregieren und sicherzustellen, dass die Arbeitsmappen die zusammengefassten Daten anstelle der zugrunde liegenden Rohdaten verwenden.
- Bereitstellen von Dokumentationen: Fügen Sie Dokumentationen oder QuickInfos in die Arbeitsmappe ein, damit Benutzer verstehen können, wie sie effektiv verwendet werden können. Dies kann Erläuterungen der Datenquellen, Visualisierungen und aller verfügbaren Filter oder Parameter umfassen.
Hinweis
Die Verfügbarkeit von Arbeitsmappen in Ihrer Lösung wird nicht vorgeschrieben, da sie vom Anwendungsfall abhängig sind. Wenn Sie jedoch Arbeitsmappen erstellen, stellen Sie sicher, dass sie für die aufgenommenen Daten relevant sind und den Kunden Einen Mehrwert bieten.
Verwalten von Lösungen
Nachdem Ihre Lösung veröffentlicht wurde, ist es wichtig, sicherzustellen, dass die Lösung regelmäßig verwaltet und aktualisiert wird. Dazu gehören: Lösungswartung
- Konto für veraltete Features: Wenn ein feature, das von einer Lösung verwendet wird, veraltet ist, empfiehlt Microsoft, die Lösung so zu aktualisieren, dass die Veraltetkeit sechs Monate vor dem Ende der Lebensdauer oder des Endes des Dienstereignisses berücksichtigt wird.
- Stellen Sie sicher, dass die Seite "Lösungsbeschreibung" korrekt ist und wie erwartet funktioniert: Die Beschreibungsseite der Lösung sollte nach Bedarf aktualisiert werden, um sicherzustellen, dass sie korrekt und voll funktionsfähig ist. Alle Verknüpfungen, die beschädigt werden, sollten behoben werden.
- Adressieren von GitHub CodeQL-Warnungen: Wenn der Lösungsherausgeber GitHub CodeQL-Warnungen identifiziert, sollten sie zeitnah adressiert werden.