Qualifikationsschulung für Microsoft Sentinel
In diesem Artikel absolvieren Sie eine Level-400-Schulung, durch die Sie weitere Fertigkeiten in Microsoft Sentinel erwerben. Die Schulung umfasst 21 Module zum Selbststudium, die relevante Produktdokumentation, Blogbeiträge und andere Ressourcen enthalten.
Die nachstehend aufgeführten Module sind in fünf Teile unterteilt, die dem Lebenszyklus eines Security Operation Center (SOC) folgen:
- Modul 0: Weitere Lern- und Supportoptionen
- Modul 1: Erste Schritte mit Microsoft Sentinel
- Modul 2: Wie wird Microsoft Sentinel verwendet?
Teil 2: Architektur und Bereitstellung
- Modul 3: Arbeitsbereich- und Mandantenarchitektur
- Modul 4: Datensammlung
- Modul 5: Protokollverwaltung
- Modul 6: Anreicherung: Threat Intelligence, Watchlists und mehr
- Modul 7: Protokolltransformation
- Modul 8: Migration
- Modul 9: Erweitertes SIEM-Informationsmodell und Normalisierung
Teil 3: Erstellen von Inhalten
- Modul 10: Kusto-Abfragesprache
- Modul 11: Analyse
- Modul 12: Implementieren von SOAR
- Modul 13: Arbeitsmappen, Berichte und Visualisierung
- Modul 14: Notebooks
- Modul 15: Anwendungsfälle und Lösungen
- Modul 16: Ein Tag im Leben eines SOC-Analysten, Incidentmanagement und Untersuchung
- Modul 17: Suche
- Modul 18: User and Entity Behavior Analytics (UEBA)
- Modul 19: Überwachen der Integrität von Microsoft Sentinel
- Modul 20: Erweitern und Integrieren mithilfe von Microsoft Sentinel-APIs
- Modul 21: Erstellen Ihres eigenen Machine-Learning-Modells
Teil 1: Übersicht
Modul 0: Weitere Lern- und Supportoptionen
Diese Qualifikationsschulung ist eine Level-400-Schulung, die auf der Microsoft Sentinel Ninja-Schulung basiert. Wenn Sie nicht so tief gehen möchten oder ein bestimmtes Problem haben, sind andere Ressourcen u. U. besser geeignet:
- Auch wenn die Qualifikationsschulung umfangreich ist, muss sie einem Skript folgen und kann nicht im Detail auf jedes Thema eingehen. Weitere Informationen zu jedem Artikel finden Sie in der referenzierten Dokumentation.
- Sie können jetzt mit der neuen Zertifizierung SC-200 Microsoft Security Operations Analyst zertifiziert werden, in der Microsoft Sentinel enthalten ist. Vielleicht möchten Sie sich auch mit den Kursen SC-900: Microsoft-Grundlagen für Sicherheit, Compliance und Identität oder AZ-500: Microsoft Azure-Sicherheitstechnologien beschäftigen, um die Microsoft Security-Reihe noch besser kennenzulernen.
- Wenn Sie bereits für Microsoft Sentinel qualifiziert sind, verfolgen Sie die Neuerungen, oder nehmen Sie an dem Programm Microsoft Cloud Security Private Community teil, um frühen Einblick in anstehende Versionen zu erhalten.
- Haben Sie eine Idee für ein Feature, die Sie uns mitteilen möchten? Lassen Sie es uns über die Microsoft Sentinel-Seite für das Benutzerfeedback wissen.
- Sind Sie ein Premier-Kunde? Vielleicht interessiert Sie der viertägige Microsoft Sentinel Grundlagen-Workshop vor Ort oder aus der Ferne. Weitere Informationen erhalten Sie bei dem für Sie zuständigen Customer Success-Kundenbetreuer.
- Haben Sie ein bestimmtes Problem? Fragen Sie (oder beantworten Sie die Fragen anderer) in der Microsoft Sentinel Tech Community. Oder Sie können Ihre Frage per E-Mail an uns senden oder unter MicrosoftSentinel@microsoft.com an uns ausstellen.
Modul 1: Erste Schritte mit Microsoft Sentinel
Microsoft Sentinel ist eine skalierbare, cloudnative Lösung für Security Information & Event Management (SIEM) und die Sicherheitsorchestrierung mit automatisierter Reaktion (Security Orchestration Automated Response, SOAR). Microsoft Sentinel bietet intelligente Sicherheitsanalysen und Threat Intelligence für das gesamte Unternehmen. Der Dienst bietet eine einzige Lösung für die Warnungserkennung, die Sichtbarkeit von Bedrohungen, proaktives Hunting und die Reaktion auf Bedrohungen. Weitere Informationen finden Sie unter Informationen zu Microsoft Sentinel.
Wenn Sie eine erste Übersicht über die technischen Funktionen von Microsoft Sentinel erhalten möchten, ist die neueste Ignite-Präsentation ein guter Ausgangspunkt. Möglicherweise finden Sie auch das Schnellstarthandbuch für Microsoft Sentinel hilfreich (Registrierung erforderlich).
In diesem Microsoft Sentinel-Webinar finden Sie eine ausführlichere Übersicht: YouTube, MP4 oder Präsentation.
Und schließlich: Möchten Sie es selbst ausprobieren? Der Microsoft Sentinel All-In-One Accelerator (Blog, YouTube, MP4 oder Präsentation) bietet Ihnen eine einfache Möglichkeit für die ersten Schritte. Um zu erfahren, wie Sie selber beginnen, lesen Sie die Onboarding-Dokumentation oder sehen Sie sich das Sentinel-Einrichtungs- und Konfigurationsvideo von Insight an.
Lernen von anderen Benutzern
Tausende von Organisationen und Dienstanbietern nutzen Microsoft Sentinel. Wie bei Sicherheitsprodukten üblich, gehen die meisten von ihnen damit nicht an die Öffentlichkeit. Dennoch gibt es einige, die es getan haben:
- Suchen Sie nach öffentlichen Kundenanwendungsfällen.
- Stuart Gregg, Security Operations Manager bei ASOS, veröffentlichte einen weitaus detaillierteren Blogbeitrag aus der Erfahrung mit Microsoft Sentinel, in dem er sich auf das Hunting konzentriert.
Lernen von Analysten
- Azure Sentinel erreicht eine Leader-Platzierung in Forrester Wave, mit Top-Platzierung in Strategie
- Microsoft wurde im „2021 Gartner Magic Quadrant“ als SIEM-Visionär für Microsoft Sentinel bezeichnet.
Modul 2: Wie wird Microsoft Sentinel verwendet?
Viele Benutzer verwenden Microsoft Sentinel als primäre SIEM-Lösung. Dieser Anwendungsfall ist in den meisten Modulen in diesem Kurs enthalten. In diesem Modul stellen wir Ihnen einige zusätzliche Möglichkeiten vor, wie Sie Microsoft Sentinel nutzen können.
Als Teil des Microsoft Security-Angebots
Verwenden Sie Microsoft Sentinel, Microsoft Defender for Cloud und Microsoft Defender XDR zusammen, um Ihre Microsoft-Workloads zu schützen, einschließlich Windows, Azure und Office:
- Lesen Sie mehr über unsere umfassende SIEM+XDR-Lösung, die Microsoft Sentinel und Microsoft Defender XDR kombiniert.
- Lesen Sie den Azure Security-Kompass (jetzt Microsoft Security Best Practices), um den Microsoft-Blueprint für Ihre Sicherheitsvorgänge zu verstehen.
- Lesen Sie im Blog, wie ein solches Setup dazu beiträgt, einen WebShell-Angriff zu erkennen und darauf zu reagieren, und sehen Sie sich die Video-Demo an.
- Sehen Sie sich das Webinar an: Besser zusammen | OT und IoT-Angriffserkennung, Untersuchung und Reaktion.
So überwachen Sie Ihre Multi-Cloud-Workloads
Die Cloud ist (noch) neu und wird oftmals nicht so umfassend überwacht wie lokale Workloads. Lesen Sie diese Präsentation, um zu erfahren, wie Microsoft Sentinel Sie dabei unterstützen kann, die Überwachungslücke in Ihren Clouds zu schließen.
Seite an Seite mit Ihrer vorhandenen SIEM-Lösung
Wenn Sie Microsoft Sentinel für Ihre Cloud-Workloads verwenden, können Sie Microsoft Sentinel entweder für einen Übergangszeitraum oder längerfristig gemeinsam mit Ihrer vorhandenen SIEM-Lösung nutzen. Sie können auch beide mit einem Ticketsystem wie Service Now verwenden.
Weitere Informationen zum Migrieren von einer anderen SIEM-Lösung zu Microsoft Sentinel finden Sie im Migrations-Webinar: YouTube, MP4 oder Präsentation.
Es gibt drei gängige Szenarien für die parallele Bereitstellung:
Wenn Sie über ein Ticketsystem in Ihrem SOC verfügen, empfiehlt es sich, Warnungen oder Vorfälle von beiden SIEM-Systemen an ein Ticketsystem wie Service Now zu senden. Beispiele beinhalten Verwenden von bidirektionaler Synchronisierung von Microsoft Sentinel Incident mit ServiceNow oder Senden von Warnungen, die angereichert sind mit unterstützenden Ereignissen von Microsoft Sentinel, an Drittanbieter-SIEMs.
Zumindest zu Beginn senden viele Benutzer Warnungen von Microsoft Sentinel an Ihre lokale SIEM-Lösung. Lesen Sie, wie das geht, unter Senden von Warnungen, die angereichert sind mit unterstützenden Ereignissen von Microsoft Sentinel, an Drittanbieter-SIEMs.
Im Laufe der Zeit, wird dies, während Microsoft Sentinel immer weitere Workloads abdeckt, in der Regel umgekehrt und es werden Warnungen von Ihrer lokalen SIEM-Lösung an Microsoft Sentinel gesendet. Gehen Sie folgendermaßen vor:
- Für Splunk siehe Senden von Daten und wichtigen Ereignissen von Splunk an Microsoft Sentinel.
- Für QRadar siehe Senden von QRadar-Verstößen an Microsoft Sentinel.
- Für ArcSight siehe Weiterleitung mit „Common Event Format“ (CEF).
Sie können die Warnungen von Microsoft Sentinel mithilfe der Graph-Sicherheits-API auch an Ihre Drittanbieterlösung oder Ihr Ticketsystem senden. Dieser Ansatz ist einfacher, aber er aktiviert nicht das Senden anderer Daten.
Für MSSPs
Da es die Einrichtungskosten eliminiert und standortagnostisch ist, ist Microsoft Sentinel eine beliebte Wahl für die Bereitstellung von Siem as a Service. Sie finden eine Liste von mitgliederverwalteten MISA (Microsoft Intelligent Security Association)-Sicherheitsdienstanbietern (MSSPs), die Microsoft Sentinel verwenden. Viele andere MSSPs, insbesondere regionale und kleinere, verwenden Microsoft Sentinel, sind jedoch keine MISA-Mitglieder.
Am Anfang Ihrer Reise als MSSP sollten Sie die technischen Playbooks von Microsoft Sentinel für MSSPs lesen. Weitere Informationen zur MSSP-Unterstützung sind im nächsten Modul zur Cloudarchitektur und zum mehrinstanzenfähigen Support enthalten.
Teil 2: Architektur und Bereitstellung
Auch wenn „Teil 1: Übersicht“ Möglichkeiten bietet, Microsoft Sentinel in wenigen Minuten zu verwenden, ist es wichtig, einen Plan zu erstellen, bevor Sie eine Produktionsbereitstellung starten.
Dieser Abschnitt führt Sie durch die Bereiche, die Sie beim Einrichten Ihrer Lösung berücksichtigen müssen; er enthält Richtlinien zum Implementieren Ihres Designs:
- Arbeitsbereich- und Mandantenarchitektur
- Datensammlung
- Protokollverwaltung
- Threat Intelligence-Erwerb
Modul 3: Arbeitsbereich- und Mandantenarchitektur
Eine Microsoft Sentinel-Instanz wird als Arbeitsbereich bezeichnet. Der Arbeitsbereich ist identisch mit einem Log Analytics-Arbeitsbereich und unterstützt alle Log Analytics-Funktionen. Stellen Sie sich Sentinel als eine Lösung vor, die einem Log Analytics-Arbeitsbereich SIEM-Features hinzufügt.
Oft sind mehrere Arbeitsbereiche erforderlich, die als einzelnes Microsoft Sentinel-System zusammenarbeiten können. Ein spezieller Anwendungsfall stellt Dienste mithilfe von Microsoft Sentinel bereit, z. B. von einem MSSP (Managed Security Service Provider) oder von einem globalen SOC in einer großen Organisation.
Wenn Sie mehr über die Verwendung mehrerer Arbeitsbereiche in einem Microsoft Sentinel-System erfahren möchten, lesen Sie Erweitern von Microsoft Sentinel über Arbeitsbereiche und Mandanten hinweg, oder sehen Sie sich das Webinar an: MP4, YouTube oder Präsentation.
Wenn Sie mehrere Arbeitsbereiche verwenden, sollten Sie folgendes berücksichtigen:
- Ein wichtiger Einflussfaktor für die Verwendung mehrerer Arbeitsbereiche ist die Datenresidenz. Weitere Informationen finden Sie unter Microsoft Sentinel-Datenresidenz.
- Um Microsoft Sentinel bereitzustellen und Inhalte effizient über mehrere Arbeitsbereiche hinweg zu verwalten, müssen Sie Sentinel mithilfe der CI/CD-Technologie (continuous integration/continuous delivery) als Code verwalten. Als bewährte Methode wird für Microsoft Sentinel die Aktivierung der kontinuierlichen Bereitstellung empfohlen. Lesen Sie Aktivieren von nativer kontinuierlicher Bereitstellung mit Microsoft Sentinel-Repositorys.
- Wenn Sie mehrere Arbeitsbereiche als MSSP verwalten, sollten Sie das geistige Eigentum von MSSP in Microsoft Sentinel schützen.
Das Technische Playbook von Microsoft Sentinel für MSSPs enthält detaillierte Richtlinien für viele dieser Themen und ist auch für große Organisationen nützlich und nicht nur für MSSPs.
Modul 4: Datensammlung
Die Grundlage eines SIEM besteht darin, Telemetriedaten zu sammeln: Informationen zu Ereignisse, Warnungen und kontextbezogenen Anreicherungen wie Threat Intelligence, Sicherheitsrisikodaten und Ressourceninformationen. Nachfolgend finden Sie eine Liste der Quellen, auf die Sie sich beziehen können:
- Lesen Sie Microsoft Sentinel-Datenconnectors
- Gehen Sie zu Suchen Ihres Microsoft Sentinel-Datenconnectors zum Anzeigen aller unterstützten und sofort einsatzbereiten Datenconnectors. Sie finden Links zu generischen Bereitstellungsverfahren und zusätzliche Schritte, die für bestimmte Connector erforderlich sind.
- Datensammlungsszenarien: Erfahren Sie mehr über Sammlungsmethoden wie Logstash/CEF/WEF. Andere häufige Szenarien sind Einschränkungen für Berechtigungen für Tabellen, Protokollfilterung, Sammeln von Protokollen von Amazon Web Services (AWS) oder Google Cloud Platform (GCP), Microsoft 365 Raw-Protokolle usw. Alle finden Sie im Webinar „Datensammlungsszenarien“: YouTube, MP4 oder Präsentation.
Die erste Information, die zu jedem Connector angezeigt wird, ist die Datenerfassungsmethode. Die dort angezeigte Methode enthält einen Link zu einem der folgenden generischen Bereitstellungsverfahren, die die meisten Informationen enthalten, die Sie benötigen, um Ihre Datenquellen mit Microsoft Sentinel zu verbinden:
| Datenerfassungsmethode | Zugehöriger Artikel |
|---|---|
| Azure-Dienst-zu-Dienst-Integration | Verbinden mit Azure-, Windows-, Microsoft- und Amazon-Diensten |
| Common Event Format (CEF) über Syslog | Einlesen von CEF-formatierten Protokollen von Ihrem Gerät oder Ihrer Anwendung in Microsoft Sentinel |
| Microsoft Sentinel-Datensammler-API | Verbinden Ihrer Datenquelle an die Microsoft Sentinel-Datensammler-API, um Daten zu erfassen |
| Azure Functions und die REST-API | Verwenden Azure Functions, um Microsoft Sentinel mit Ihrer Datenquelle zu verbinden |
| syslog | Sammeln von Daten aus Linux-basierten Quellen mithilfe von Syslog |
| Benutzerdefinierte Protokolle | Sammeln von Daten in benutzerdefinierten Protokollformaten für Microsoft Sentinel mit dem Log Analytics-Agent |
Wenn Ihre Quelle nicht verfügbar ist, können Sie einen benutzerdefinierten Connector erstellen. Benutzerdefinierte Connectors verwenden die Aufnahme-API und sind daher ähnlich wie direkte Quellen. Sie implementieren benutzerdefinierte Connectors am häufigsten mithilfe von Azure Logic Apps, was eine codelose Option bietet, oder Azure Functions.
Modul 5: Protokollverwaltung
Die erste Architekturentscheidung, die zu berücksichtigen ist, wenn Sie Microsoft Sentinel konfigurieren, ist, wie viele und welche Arbeitsbereiche verwendet werden sollen. Weitere architektonische Entscheidungen für die Verwaltung von Schlüsselprotokollen, die berücksichtigt werden sollen:
- wo und wie lange Daten aufbewahrt werden sollten.
- wie der Zugriff auf Daten am besten verwaltet wird und wie Daten gesichert werden sollten.
Erfassen, Archivieren, Suchen und Wiederherstellen von Daten in Microsoft Sentinel
Sehen Sie sich zu Beginn das Webinar Verwalten des Protokolllebenszyklus mit neuen Methoden zur Erfassung, Archivierung, Suche und Wiederherstellung an.
Diese Feature-Sammlung enthält Folgendes:
- Grundlegende Erfassungsstufe: Eine neue Preisstufe für Azure Monitor-Protokolle, mit denen Sie Protokolle zu niedrigeren Kosten aufnehmen können. Diese Daten werden nur für insgesamt acht Tage in dem Arbeitsbereich aufbewahrt.
- Archivebene: Azure Monitor Logs hat seine Aufbewahrungsfunktion von zwei Jahren auf sieben Jahre erweitert. Mit dieser neuen Ebene können Sie Daten für bis zu sieben Jahre in einem archivierten Zustand mit geringem Kosten aufbewahren.
- Suchaufträge: Suchaufgaben, die in begrenzter KQL ausgeführt werden, um alle relevanten Protokolle zu finden zu zurückzugeben. Bei diesen Aufträgen werden Daten auf der gesamten Analyseebene, der Basisebene und in archivierten Daten gesucht.
- Datenwiederherstellung: Ein neues Feature, mit dem Sie eine Datentabelle und einen Zeitbereich auswählen können, sodass Sie Daten für den Arbeitsbereich über eine Wiederherstellungstabelle wiederherstellen können.
Weitere Informationen zu diesen neuen Features finden Sie unter Erfassen, Archivieren, Suchen und Wiederherstellen von Daten in Microsoft Sentinel.
Alternative Aufbewahrungsoptionen außerhalb der Microsoft Sentinel-Plattform
Wenn Sie für mehr als zwei Jahre Daten aufbewahren möchten oder die Aufbewahrungskosten reduzieren möchten, überlegen Sie, den Azure Data Explorer für die Langzeitaufbewahrung von Microsoft Sentinel-Protokollen zu verwenden. Sehen Sie sich die Webinarfolien, die Webinaraufzeichnung oder den Blog an.
Möchten Sie ausführlichere Informationen? Sehen Sie sich das Webinar „Verbesserung der Breite und Abdeckung der Bedrohungssuche mit ADX-Support, weiteren Entitätstypen und aktualisierten MITRE-Integrationen“ an.
Wenn Sie eine andere langfristige Aufbewahrungslösung bevorzugen, exportieren Sie von einem Microsoft Sentinel- bzw. Log Analytics-Arbeitsbereich nach Azure Storage und Event Hubs oder verschieben Sie die Protokolle mithilfe von Azure Logic Apps in den Langzeitspeicher. Der Vorteil der Verwendung von Logic Apps ist, dass es historische Daten exportieren kann.
Schließlich können Sie mithilfe von Aufbewahrungseinstellungen auf Tabellenebene differenzierte Aufbewahrungsfristen festlegen. Weitere Informationen finden Sie unter Konfigurieren von Datenaufbewahrungs- und Archivrichtlinien in Azure Monitor-Protokollen (Vorschau).
Protokollsicherheit
Verwenden Sie Ressourcen-RBAC oder RBAC auf Tabellenebene, um mehreren Teams die Verwendung eines einzelnen Arbeitsbereichs zu ermöglichen.
Bei Bedarf löschen Sie Kundeninhalte aus Ihren Arbeitsbereichen.
Erfahren Sie, wie Sie Arbeitsbereichsabfragen und die Verwendung von Microsoft Sentinel mithilfe von Arbeitsmappen vom Typ „Warnungen“ und Abfragen überwachen.
Verwenden Sie private Links, um sicherzustellen, dass Protokolle niemals Ihr privates Netzwerk verlassen.
Dedizierter Cluster
Verwenden Sie einen dedizierten Arbeitsbereichscluster, wenn Ihre voraussichtliche Datenerfassung etwa bei 500 GB pro Tag oder höher liegt. Mit einem dedizierten Cluster können Sie Ressourcen für Ihre Microsoft Sentinel-Daten schützen, wodurch eine bessere Abfrageleistung für große Datensätze ermöglicht wird.
Modul 6: Anreicherung: Bedrohungsintelligenz, Watchlists und mehr
Eine der wichtigen Funktionen eines SIEM besteht darin, kontextbezogene Informationen auf den Ereignisdatenstrom anzuwenden, um die Erkennung, die Warnungspriorisierung und die Vorfalluntersuchung zu ermöglichen. Kontextbezogene Informationen sind z. B. Threat Intelligence, IP Intelligence, Host- und Benutzerinformationen sowie Watchlists.
Microsoft Sentinel bietet umfassende Tools zum Importieren, Verwalten und Verwenden von Threat Intelligence. Für andere Arten kontextbezogener Informationen stellt Microsoft Sentinel Watchlists und andere alternative Lösungen bereit.
Bedrohungsanalyse
Threat Intelligence ist ein wichtiger Baustein eines SIEM. Sehen Sie sich das Webinar „Erkunden der Leistungsfähigkeit der Threat Intelligence in Microsoft Sentinel“ an.
In Microsoft Sentinel können Sie Bedrohungsinformationen mithilfe der integrierten Connectors von TAXII (Trusted Automated eXchange of Indicator Information) oder über die Microsoft Graph-Sicherheits-API integrieren. Weitere Informationen finden Sie unter Threat Intelligence-Integration in Azure Sentinel. Weitere Informationen zum Importieren von Threat Intelligence finden Sie in Modul 4: Datensammlung.
Sobald sie importiert wurde, wird die Threat Intelligence umfassend in Microsoft Sentinel verwendet. Bei den folgenden Features geht es in erster Linie um die Verwendung der Threat Intelligence:
Zeigen Sie die importierten Threat Intelligence-Daten in Protokollen im neuen Threat Intelligence-Bereich von Microsoft Sentinel an und verwalten Sie sie dort.
Verwenden Sie die integrierten TI-Analyseregelvorlagen, um Sicherheitswarnungen und -vorfälle mithilfe Ihrer importierten Threat Intelligence zu generieren.
Visualisieren Sie wichtige Informationen zu Ihrer Threat Intelligence in Microsoft Sentinel mithilfe der Arbeitsmappe „Threat Intelligence“.
Sehen Sie sich das Webinar „Automatisierung Ihrer Microsoft Sentinel Triage-Bemühungen mit RiskIQ Threat Intelligence“ an: YouTube oder Präsentation.
Sie haben wenig Zeit? Sehen Sie sich die Ignite-Sitzung (28 Minuten) an.
Möchten Sie ausführlichere Informationen? Sehen Sie sich das Webinar „Eingehende Behandlung von Threat Intelligence“ an: YouTube, MP4 oder Präsentation.
Watchlists und andere Lookup-Mechanismen
Um kontextbezogene Informationen jeglicher Art zu importieren und zu verwalten, stellt Microsoft Sentinel Watchlists bereit. Mithilfe von Watchlists können Sie Datentabellen im CSV-Format hochladen und in Ihren KQL-Abfragen verwenden. Weitere Informationen finden Sie unter Verwenden von Watchlists in Microsoft Sentinel oder indem Sie sich Webinar „Verwenden von Watchlists, um Warnungen zu verwalten, Warnungsmüdigkeit zu reduzieren und die SOC-Effizienz zu verbessern“ ansehen: YouTube oder Präsentation.
Verwenden Sie Watchlists zur Unterstützung in folgenden Szenarien:
Untersuchen von Bedrohungen und schnelles Reagieren auf Vorfälle durch den Import von IP-Adressen, Dateihashes und anderen Daten aus CSV-Dateien. Nach dem Importieren der Daten können Sie Name-Wert-Paare der Watchlist zum Verknüpfen und Filtern in Warnungsregeln, bei der Bedrohungssuche, in Arbeitsmappen, in Notebooks und für allgemeine Abfragen verwenden.
Importieren Sie Geschäftsdaten als Watchlist: Importieren Sie beispielsweise Listen von Benutzern mit privilegiertem Systemzugriff oder beendeten Mitarbeitern. Verwenden Sie dann die Watchlist, um Positivlisten und Sperrlisten zu erstellen, um diese Benutzer bei der Anmeldung beim Netzwerk zu erkennen oder sie daran zu hindern.
Reduzieren von Warnungsmüdigkeit: Erstellen Sie Positivlisten, um auf eine Gruppe von Benutzern bezogene Warnungen zu unterdrücken, z. B. Benutzer von autorisierten IP-Adressen, die Aufgaben ausführen, die normalerweise die Warnung auslösen würden. Verhindern Sie, dass unbedenkliche Ereignisse Warnungen auslösen.
Anreichern von Ereignisdaten: Verwenden Sie Watchlists, um Ihre Ereignisdaten mit Name-Wert-Kombinationen zu erweitern, die aus externen Datenquellen stammen.
Zusätzlich zu Watchlists können Sie auch den KQL-Operator external-data, benutzerdefinierte Protokolle und KQL-Funktionen verwenden, um Kontextinformationen zu verwalten und abzufragen. Jede der vier Methoden verfügt über ihre Vor- und Nachteile, und Sie können mehr über die Vergleiche zwischen ihnen im Blogbeitrag „Implementieren von Lookup-Vorgängen in Microsoft Sentinel“ lesen. Auch wenn jede Methode unterschiedlich ist, ist die Verwendung der resultierenden Informationen in Ihren Abfragen ähnlich und ermöglicht einen einfachen Wechsel zwischen ihnen.
Lesen Sie Nutzen von Watchlists zum Steigern der Effizienz während Microsoft Sentinel-Untersuchungen, um Ideen zur Verwendung von Watchlists außerhalb der Analyseregeln zu erhalten.
Sehen Sie sich das Webinar „Verwenden von Watchlists, um Warnungen zu verwalten, Warnungsmüdigkeit zu reduzieren und die SOC-Effizienz zu verbessern“ an: YouTube oder Präsentation.
Modul 7: Protokolltransformation
Microsoft Sentinel unterstützt zwei neue Features für die Datenerfassung und -transformation. Diese von Log Analytics bereitgestellten Features führen noch vor dem Speichern im Arbeitsbereich Aktionen für Ihre Daten aus. Die Features sind:
Protokollerfassungs-API: Damit können Sie Protokolle in benutzerdefiniertem Format aus einer beliebigen Datenquelle an Ihren Log Analytics-Arbeitsbereich senden und diese Protokolle entweder in bestimmten spezifischen Standardtabellen oder in benutzerdefiniert formatierten Tabellen speichern, die Sie erstellen. Sie können die tatsächliche Aufnahme dieser Protokolle ausführen, indem Sie direkte API-Aufrufe verwenden. Mithilfe von Datensammlungsregeln von Azure Monitor können Sie diese Workflows definieren und konfigurieren.
Arbeitsbereichdatentransformationen für Standardprotokolle: Es werden Datensammlungsregeln verwendet, um irrelevante Daten herauszufiltern, Ihre Daten anzureichern oder zu taggen oder sensible oder personenbezogene Informationen auszublenden. Die Datentransformation kann zur Erfassungszeit für die folgenden Typen integrierter Datenconnectors konfiguriert werden:
- Azure Monitor-Agent (AMA)-basierte Datenconnectors (basierend auf dem neuen Azure Monitor-Agent)
- Microsoft Monitoring Agent (MMA)-basierte Datenkonnektoren (basierend auf dem älteren Azure Monitor Logs Agent)
- Datenconnectors, die Diagnoseeinstellungen verwenden
- Dienst-zu-Dienst-Datenconnectors
Weitere Informationen finden Sie unter
- Transformieren oder Anpassen von Daten zur Erfassungszeit in Microsoft Sentinel
- Suchen Ihres Microsoft Sentinel-Datenconnectors
Modul 8: Migration
In vielen (falls nicht den meisten) Fällen verfügen Sie bereits über ein SIEM und müssen nach Microsoft Sentinel migrieren. Während es vielleicht ein guter Zeitpunkt ist, neu zu beginnen und Ihre SIEM-Implementierung zu überdenken, ist es sinnvoll, einige der bereits in Ihre aktuelle Implementierung integrierten Ressourcen zu nutzen. Sehen Sie sich das Webinar an, in dem bewährte Methoden zum Konvertieren von Erkennungsregeln aus Splunk, QRadar und ArcSight in Azure Microsoft Sentinel beschrieben werden: YouTube, MP4, Präsentation oder Blog.
Einige der folgenden Ressourcen könnten Sie ebenfalls interessieren:
- Splunk Search Processing Language (SPL) zu KQL-Zuordnungen
- Beispiele für ArcSight- und QRadar-Regelzuordnungen
Modul 9: Erweitertes SIEM-Informationsmodell und Normalisierung
Das kombinierte Arbeiten mit verschiedenen Datentypen und Tabellen hält eine Herausforderung bereit. Sie müssen sich mit den verschiedenen Datentypen und Schemas vertraut machen und einen eindeutigen Satz an Analyseregeln, Arbeitsmappen und Hunting-Abfragen schreiben und verwenden. Auch die Korrelation zwischen den verschiedenen Datentypen, die für Untersuchung und Hunting erforderlich sind, kann schwierig sein.
Das Erweiterte SIEM-Informationsmodell (Advanced SIEM Information Model, ASIM) bietet eine nahtlose Methode für die Verarbeitung verschiedener Quellen in einheitlichen, normalisierten Ansichten. ASIM richtet sich an dem allgemeinen Open-Source-Sicherheitsereignismetadaten-Informationsmodell (Open-Source Security Events Metadata, OSSEM) aus und fördert die herstellerunabhängige branchenweite Normalisierung. Sehen Sie sich das Webinar „Erweitertes SIEM-Informationsmodell (ASIM): jetzt integriert in Microsoft Sentinel“ an: YouTube oder Präsentation.
Die aktuelle Implementierung basiert auf der Normalisierung der Abfragezeit mithilfe von KQL-Funktionen:
Normalisierte Schemas decken allgemeine Sätze vorhersagbarer Ereignistypen ab, mit denen sich leicht arbeiten lässt und auf denen einheitliche Funktionen aufgebaut werden können. Das Schema definiert, welche Felder ein Ereignis, eine Namenskonvention für normalisierte Spalten und ein Standardformat für die Feldwerte darstellen sollten.
- Schauen Sie sich das Webinar „Normalisierung in Microsoft Sentinel verstehen“ an: YouTube oder Präsentation.
- Sehen Sie sich das Webinar „Ausführliche Informationen zu den Microsoft Sentinel-Normalisierungsparsern und zu normalisierten Inhalten“ an: YouTube, MP3 oder Präsentation.
Parser ordnen den normalisierten Schemas vorhandene Daten zu. Sie implementieren Parser mithilfe von KQL-Funktionen. Sehen Sie sich das Webinar „Erweitern und Verwalten von ASIM: Entwickeln, Testen und Bereitstellen von Parsern“ an: YouTube oder Präsentation.
Inhalte für jedes normalisierte Schema beinhaltet Analyseregeln, Arbeitsmappen und Hunting-Abfragen. Diese Inhalte für alle normalisierten Daten verwendet werden, ohne dass quellenspezifische Inhalte erstellt werden müssen.
Die Verwendung von ASIM bietet folgende Vorteile:
Quellerkennung: Normalisierte Analyseregeln funktionieren in lokalen Quellen und in der Cloud. Die Regeln erkennen Attacken, wie etwa rohe Gewalt oder unmögliche Reise über Systeme hinweg, einschließlich Okta, AWS, und Azure.
Lässt quellenagnostische Inhalte zu: Die Abdeckung von vorgefertigten und benutzerdefinierten Inhalten mithilfe von ASIM wird automatisch auf alle Quellen erweitert, die ASIM unterstützen. Dies gilt selbst dann, wenn die Quelle erst nach dem Erstellen des Inhalts hinzugefügt wurde. Die Prozessereignisanalyse unterstützt beispielsweise alle Quellen, die ein Kunde zum Importieren der Daten verwenden kann, z. B. Microsoft Defender for Endpoint, Windows-Ereignisse und Sysmon. Wir sind bereit, Sysmon für Linux und WEF hinzuzufügen, wenn es veröffentlicht wurde.
Unterstützung für benutzerdefinierte Quellen in integrierten Analysen
Einfache Verwendung: Analysten, die ASIM lernen, finden es viel einfacher, Abfragen zu schreiben, da die Feldnamen immer gleich sind.
Weitere Informationen zu ASIM:
Nutzen Sie diese Ressourcen:
Schauen Sie sich das Webinar „Normalisierung in Azure Sentinel verstehen“ an: YouTube oder Präsentation.
Sehen Sie sich das Webinar „Ausführliche Informationen zu den Microsoft Sentinel-Normalisierungsparsern und zu normalisierten Inhalten“ an: YouTube, MP3 oder Präsentation.
Schauen Sie sich das Webinar an: „Turbocharging ASIM: Sicherstellen, dass die Normalisierung die Leistung unterstützt, anstatt sie zu beeinflussen“: YouTube, MP4 oder Präsentation.
Lesen Sie die ASIM-Dokumentation.
ASIM bereitstellen
Stellen Sie die Parser aus den Ordnern, die mit „ASIM“ beginnen, im Ordner Parsers auf GitHub bereit.
Aktivieren Sie die Analyseregeln, die ASIM verwenden. Suchen Sie im Vorlagenkatalog nach normal, um einige davon zu finden. Um die vollständige Liste abzurufen, verwenden Sie diese GitHub-Suche.
Verwenden von ASIM
Verwenden der ASIM-Suchabfragen aus GitHub
Verwenden Sie ASIM-Abfragen, wenn Sie KQL im Protokollbildschirm verwenden.
Schreiben Sie mithilfe von ASIM Ihre eigenen Analyseregeln, oder konvertieren Sie vorhandene Regeln.
Schreiben von Parsern für eigene benutzerdefinierte Quellen zwecks Herstellung der Kompatibilität mit ASIM und Teilnahme an integrierten Analysen
Teil 3: Erstellen von Inhalten
Was sind Microsoft Sentinel-Inhalte?
Der Sicherheitswert von Microsoft Sentinel ist eine Kombination aus seinen integrierten Funktionen und Ihrer Fähigkeit, benutzerdefinierte Funktionen zu erstellen und die integrierten anzupassen. Unter integrierten Funktionen gibt es Benutzer- und Entitätsverhaltensanalyse (UEBA), maschinelles Lernen oder Out-of-the-Box-Analyseregeln. Benutzerdefinierte Funktionen werden häufig als „Inhalte“ bezeichnet; zu ihnen zählen Analyseregeln, Hunting-Abfragen, Arbeitsmappen, Playbooks usw.
In diesem Abschnitt haben wir die Module gruppiert, mit deren Hilfe Sie lernen, solche Inhalte zu erstellen oder integrierte Inhalte für Ihre Bedürfnisse zu ändern. Wir beginnen mit KQL, der Lingua Franca von Azure Sentinel. Gegenstand der folgenden Module ist einer der diskutieren einen der Blöcke zum Erstellen von Inhalten wie z. B. Regeln, Playbooks und Arbeitsmappen. Wir enden mit der Besprechung von Anwendungsfällen, die Elemente unterschiedlicher Art umfassen, um auf bestimmte Sicherheitsziele wie z. B. Bedrohungserkennung, Suche oder Governance einzugehen.
Modul 10: Kusto-Abfragesprache
Die meisten Microsoft Sentinel-Funktionen verwenden KQL oder die Kusto-Abfragesprache. Wenn Sie in Ihren Protokollen suchen, Regeln schreiben, Hunting-Abfragen erstellen oder Arbeitsmappen entwerfen, verwenden Sie KQL.
Im nächsten Abschnitt, in dem es um das Schreiben von Regeln geht, wird erläutert, wie KQL im spezifischen Kontext von SIEM-Regeln verwendet wird.
Nachfolgend finden Sie den Weg, der zum Erlernen von Microsoft Sentinel KQL empfohlen wird:
Pluralsight KQL-Kurs: die Grundlagen
Must Learn KQL: Eine 20-teilige KQL-Serie, die Sie durch die Grundlagen davon führt, Ihre erste Analyseregeln zu erstellen (enthält eine Bewertung und ein Zertifikat).
Das Microsoft Sentinel KQL Lab: ein interaktives Labor, das KQL vermittelt und sich dabei darauf konzentriert, was Sie für Microsoft Sentinel benötigen:
- Lernmodul (SC-200 Teil 4)
- Präsentation oder Lab-URL
- Eine Jupyter Notebooks-Version, mit der Sie die Abfragen innerhalb des Notizbuchs testen können
- Lern-Webinar: YouTube oder MP4
- Webinar: Bewertung on Lab-Lösungen: YouTube oder MP4
Webinar „Optimieren der Leistung von Azure Sentinel KQL-Abfragen“: YouTube, MP4 oder Präsentation
„Verwenden von ASIM in Ihren KQL-Abfragen“: YouTube oder Präsentation
„KQL-Framework für Microsoft Sentinel: So werden Sie zum KQL-Profi“: YouTube oder Präsentation
Möglicherweise finden Sie beim Erlernen von KQL auch die folgenden Referenzen hilfreich:
Modul 11: Analyse
Schreiben geplanter Analyseregeln
Mit Microsoft Sentinel können Sie integrierte Regelvorlagen verwenden, die Vorlagen an Ihre Umgebung anpassen oder benutzerdefinierte Regeln erstellen. Der Kern der Regeln ist eine KQL-Abfrage; es gibt jedoch noch viel mehr als das, was Sie in einer Regel konfigurieren können.
Informationen zum Erstellen von Regeln finden Sie unter Erstellen von benutzerdefinierten Analyseregeln zum Erkennen von Bedrohungen. Um zu erfahren, wie Regeln geschrieben werden, d. h. was speziell bei KGL für Regeln Bestandteil einer Regel sein sollte, schauen Sie sich das Webinar an: MP4, YouTube, Präsentation.
SIEM-Analyseregeln weisen bestimmte Muster auf. Erfahren Sie, wie Sie Regeln implementieren und KQL für diese Muster schreiben:
Korrelationsregeln: Siehe Verwenden von Listen und der Operator „in“ oder Verwenden des Operators „join“
Aggregation: Siehe Verwenden von Listen und des oben genannten Operators „in“ oder eines erweiterten Musters für den Umgang mit gleitenden Fenstern
Lookups: Reguläre oder ungefähre, teilweise und kombinierte Lookups
Umgang mit False Positives
Verzögerte Ereignisse: sind ein unabänderlicher Fakt in jedem SIEM und schwer zu bewältigen. Mithilfe von Microsoft Sentinel können Sie Verzögerungen in Ihren Regeln verringern.
Verwenden von KQL-Funktionen als Bausteine: Erweitern von Windows-Sicherheitsereignissen mit parametrisierter Funktion.
Im Blogbeitrag „Untersuchungen zu Blob- und Dateispeichervorgängen“ finden Sie ein Schritt-für-Schritt-Beispiel für das Schreiben einer hilfreichen Analyseregel.
Verwenden integrierter Analysen
Bevor Sie ihre eigene Regel schreiben, sollten Sie die integrierten Analysefunktionen nutzen. Sie verlangen Ihnen nicht viel ab, aber es lohnt sich, sich über sie zu informieren:
Verwenden Sie die integrierten geplanten Regelvorlagen. Sie können diese Vorlagen optimieren, indem Sie sie auf die gleiche Weise ändern, in der Sie auch jede andere geplante Regel bearbeiten. Stellen Sie sicher, dass Sie die Vorlagen für die Datenconnectors bereitstellen, die Sie verbinden, die auf der Registerkarte Nächste Schritte aufgeführt sind.
Erfahren Sie mehr über die Maschine Learning-Funktionen von Microsoft Sentinel: YouTube, MP4 oder Präsentation.
Suchen Sie die Liste der erweiterten mehrstufigen Angriffserkennungen („Fusion“) von Microsoft Sentinel, die standardmäßig aktiviert sind.
Sehen Sie sich die „Fusions-ML-Erkennungen in dem Webinar über die geplanten Analyseregeln“ an: YouTube, MP4 oder Präsentation.
Erfahren Sie mehr über integrierte SOC-Machine Learning-Anomalien von Microsoft Sentinel.
Sehen Sie sich das Webinar „Angepasste SOC-Machine Learning-Anomalien und deren Verwendung“ an: YouTube, MP4 oder Präsentation.
Sehen Sie sich das Webinar „Fusion Machine Learning-Erkennungen für neue Bedrohungen und Konfigurationsbenutzeroberfläche“ an: YouTube oder Präsentation.
Modul 12: Implementieren von SOAR
In modernen SIEMs wie Microsoft Sentinel, umfasst SOAR (Security Orchestration, Automation und Response) den gesamten Prozess ab dem Zeitpunkt, zu dem ein Vorfall ausgelöst wird, bis das Problem behoben ist. Dieser Prozess beginnt mit einer Vorfalluntersuchung und wird mit einer automatisierten Reaktion fortgesetzt. Der Blogbeitrag zur Verwendung von Microsoft Sentinel zur Reaktion auf Vorfälle und zur Orchestrierung und Automatisierung bietet einen Überblick über allgemeine Anwendungsfälle für SOAR.
Automatisierungsregeln sind der Ausgangspunkt für die Microsoft Sentinel-Automatisierung. Sie bieten eine einfache Methode für die zentrale automatisierte Behandlung von Vorfällen, einschließlich Unterdrückung, des Umgangs mit False Positives und automatischer Zuweisung.
Um robuste workflowbasierte Automatisierungsfunktionen bereitzustellen, verwenden Automatisierungsregeln Logik-App-Playbooks. Weitere Informationen:
Schauen Sie sich das Webinar: „Entfesseln Sie die Jedi-Tricks der Automatisierung und Erstellen Sie Logic-App-Playbooks wie ein Profi“: YouTube, MP4 order Präsentation.
Lesen Sie mehr über Logic Apps, bei denen es sich um die Kerntechnologie für Microsoft Sentinel-Playbooks handelt.
Siehe Der Connector für Microsoft Sentinel Logic Apps, die Verknüpfung zwischen Logic Apps und Microsoft Sentinel.
Sie finden Dutzende hilfreicher Playbooks im Playbooks-Ordner auf dem Microsoft Sentinel GitHub, oder lesen Sie, wie ein Playbook eine Watchlist verwendet, um einen Abonnementbesitzer über eine Warnung informiert, wo eine exemplarische Vorgehensweise für ein Playbook dargestellt ist.
Modul 13: Arbeitsmappen, Berichte und Visualisierung
Arbeitsmappen
Als Nervenzentrum Ihres SOC benötigen Sie Microsoft Sentinel, um die gesammelten und produzierten Informationen zu visualisieren. Verwenden Sie Arbeitsmappen, um Daten in Microsoft Sentinel zu visualisieren.
Um zu erfahren, wie Sie Arbeitsmappen erstellen, lesen Sie die Azure Workbooks-Dokumentation oder schauen Sie sich die Arbeitsmappenschulung von Billy York an (und den Begleittext).
Die erwähnten Ressourcen sind nicht spezifisch für Microsoft Sentinel. Sie gelten allgemein für Arbeitsmappen. Weitere Informationen zu Arbeitsmappen in Microsoft Sentinel finden Sie im Webinar: YouTube, MP4 oder Präsentation. Lesen Sie die Dokumentation.
Arbeitsmappen können interaktiv sein und bieten viel mehr als nur eine Darstellungsfunktion. Mit Arbeitsmappen können Sie Apps oder Erweiterungsmodule für Microsoft Sentinel erstellen, um integrierte Funktionen zu ergänzen. Außerdem werden Arbeitsmappen verwendet, um die Features von Microsoft Sentinel zu erweitern. Hier finden Sie einige Beispiele für solche Apps:
Die Arbeitsmappe „Untersuchungserkenntnisse“ bietet einen alternativen Ansatz zur Untersuchung von Vorfällen.
Die Visualisierung von Diagrammen externer Teams-Zusammenarbeit ermöglicht die Suche nach einer riskanten Verwendung von Teams.
Die Arbeitsmappe zum Ortswechsel von Benutzern ermöglicht die Untersuchung von Geolocation-Warnungen.
Mit der Arbeitsmappe zu unsicheren Microsoft Sentinel-Protokollen (Implementierungshandbuch, aktuelle Verbesserungen und Übersichtsvideo) können Sie die Verwendung unsicherer Protokolle in Ihrem Netzwerk identifizieren.
Schließlich erfahren Sie noch, wie Sie Informationen aus jeglichen Quellen mithilfe von API-Aufrufen in eine Arbeitsmappe integrieren.
Sie finden dutzende Arbeitsmappen im Ordner Arbeitsmappen im Microsoft Sentinel GitHub. Einige davon sind auch im Microsoft Sentinel-Arbeitsmappenkatalog verfügbar.
Berichterstellung und andere Visualisierungsoptionen
Arbeitsmappen können zur Berichterstellung verwendet werden. Für erweiterte Berichterstellungsfunktionen wie die Planung und Verteilung von Berichten oder Pivot-Tabellen können Sie Folgendes verwenden:
Power BI, das nativ in Azure Monitor Logs und Microsoft Sentinel integriert wird.
Excel, das Azure Monitor-Protokolle und Microsoft Sentinel als Datenquelle verwenden kann, und sehen Sie sich Video „Integrieren von Azure Monitor-Protokollen und Excel in Azure Monitor“ an.
Auch Jupyter Notebooks, die später im Hunting-Modul behandelt werden, sind ein großartiges Visualisierungstool.
Modul 14: Notebooks
Jupyter Notebooks sind vollständig in Microsoft Sentinel integriert. Sie gelten als wichtiges Werkzeug im Werkzeugkasten des Suchenden und werden im nachfolgenden Abschnitt zur Suche beschrieben. Ihr Wert ist jedoch noch weitaus größer. Notebooks können für erweiterte Visualisierungen, als Untersuchungsleitfaden und für eine anspruchsvolle Automatisierung eingesetzt werden.
Um sie besser zu verstehen, schauen Sie sich das Video Einführung in Notebooks an. Beginnen Sie mit dem Webinar zu Notebooks (YouTube, MP4, Präsentation), oder lesen Sie die Dokumentation. Die Ninja-Reihe zu den Microsoft Sentinel-Notebooks ist eine fortlaufende Schulungsreihe, mit der Sie Ihre Fähigkeiten im Zusammenhang mit Notebooks erweitern können.
Ein wichtiger Teil der Integration wird von MSTICPY implementiert. Dabei handelt es sich um eine Python-Bibliothek, die von unserem Forschungsteam für den Einsatz mit Jupyter-Notebooks entwickelt wurde. Dabei werden Ihre Notebooks durch Microsoft Sentinel-Schnittstellen und anspruchsvolle Sicherheitsfunktionen ergänzt.
Modul 15: Anwendungsfälle und Lösungen
Mithilfe von Connectors, Regeln, Playbooks und Arbeitsmappen können Sie Anwendungsfälle implementieren: Dies ist der SIEM-Ausdruck für ein Inhaltspaket, das zum Erkennen von und Reagieren auf eine Bedrohung vorgesehen ist. Sie können integrierte Sentinel-Anwendungsfälle bereitstellen, indem Sie beim Verbinden der einzelnen Connectors die vorgeschlagenen Regeln aktivieren. Eine Lösung ist eine Gruppe von Anwendungsfällen. Sie richtet sich an eine bestimmte Bedrohungsdomäne.
Im Webinar „Umgang mit Identitäten“ (YouTube, MP4 oder Präsentation) wird erläutert, was ein Anwendungsfall ist und wie Sie sich seinem Design annähern; ferner werden mehrere Anwendungsfälle präsentiert, bei denen es insgesamt um Identitätsbedrohungen geht.
Ein weiterer relevanter Lösungsbereich ist der Schutz von Remotearbeit. Schauen Sie sich unsere Ignite-Sitzung zum Schutz von Remotearbeit an und lesen Sie mehr über die spezifischen Anwendungsfälle:
Microsoft Teams-Hunting-Anwendungsfälle und Visualisierung von Diagrammen externer Microsoft Teams-Zusammenarbeit
Überwachen von Zoom mit Microsoft Sentinel: benutzerdefinierte Connectors, Analyseregeln und Hunting-Abfragen.
Überwachung von Azure Virtual Desktop mit Microsoft Sentinel: Verwenden Sie Windows Security Events, Microsoft Entra-Anmeldeprotokolle, Microsoft Defender XDR für Endpunkte und Azure Virtual Desktop-Diagnoseprotokolle, um Bedrohungen für Azure Virtual Desktop zu erkennen und aufzuspüren.
Überwachen von Microsoft Intune mithilfe von Abfragen und Arbeitsmappen.
Schließlich erfahren Sie noch, wie Sie speziell für Angriffe aus der jüngeren Vergangenheit die Software-Lieferkette mit Microsoft Sentinel überwachen können.
Microsoft Sentinel-Lösungen bieten Erkennbarkeit innerhalb von Produkten, Bereitstellung in einem Schritt und Aktivierung von End-to-End-Produkt-, Domänen- und/oder vertikalen Szenarien in Microsoft Sentinel. Weitere Informationen finden Sie unter Microsoft Sentinel-Inhalte und -Lösungen, und sehen Sie sich Webinar „Eigene Microsoft Sentinel-Lösungen erstellen“ an: YouTube oder Präsentation.
Teil 4: Betrieb
Modul 16: Behandeln von Vorfällen
Nachdem Sie Ihr SOC erstellt haben, müssen Sie es auch nutzen. Das Webinar „Ein Tag im Leben eines SOC-Analysten“ (YouTube, MP4, Präsentation) führt Sie durch die Verwendung von Microsoft Sentinel im SOC, um Vorfälle zu selektieren, zu untersuchen und auf sie zu reagieren.
Dank der direkten Integration in Microsoft Teams aus Microsoft Sentinel können Ihre Teams nahtlos innerhalb der gesamten Organisation und mit externen Projektbeteiligten zusammenarbeiten. Sehen Sie sich das Webinar Verringern der mittleren Zeit bis zur Reaktion (Mean Time to Respond, MTTR) Ihres SOCs durch Integrieren von Microsoft Sentinel in Microsoft Teams an.
Sie können auch den Artikel in der Dokumentation zur Untersuchung von Vorfällen lesen. Im Rahmen der Untersuchung verwenden Sie außerdem die Entitätsseiten, um weitere Informationen zu Entitäten im Zusammenhang mit Ihrem Vorfall oder solchen zu erhalten, die im Rahmen Ihrer Untersuchung identifiziert wurden.
Die Untersuchung von Vorfällen in Microsoft Sentinel geht über die Kernfunktionen der Vorfalluntersuchung hinaus. Sie können zusätzliche Untersuchungstools mithilfe von Arbeitsmappen und Notebooks erstellen. Notizbücher werden im nächsten Abschnitt, Modul 17: Suche erläutert. Sie können auch noch weitere Untersuchungstools erstellen oder vorhandene für Ihre spezifischen Anforderungen ändern. Beispiele:
Die Arbeitsmappe „Untersuchungserkenntnisse“ bietet einen alternativen Ansatz zur Untersuchung von Vorfällen.
Notebooks verbessern das Untersuchungsergebnis. Lesen Sie Warum Jupyter für Sicherheitsuntersuchungen verwenden? und erfahren Sie, wie Sie mithilfe von Microsoft Sentinel und Jupyter Untersuchungen anstellen können:
Modul 17: Hunting
Gegenstand der meisten Erläuterungen war bisher das Erkennen und Verwalten von Vorfällen. Das Hunting ist ein weiterer wichtiger Anwendungsfall für Microsoft Sentinel. Beim Hunting handelt es sich um eine proaktive Suche nach Bedrohungen anstelle einer reaktiven Reaktion auf Warnungen.
Das Hunting-Dashboard wird fortlaufend aktualisiert. Es enthält alle Abfragen, die vom Sicherheitsanalystenteam von Microsoft geschrieben wurden, sowie etwaige zusätzliche Abfragen, die Sie erstellt oder geändert haben. Jede Abfrage enthält eine Beschreibung dazu, nach welcher Bedrohung mit ihr gesucht wird und für welche Art von Daten sie ausgeführt wird. Diese Vorlagen werden nach ihren verschiedenen Taktiken gruppiert. Mit den Symbolen auf der rechten Seite wird die Art der Bedrohung kategorisiert, z. B. Erstzugriff, Persistenz und Exfiltration. Weitere Informationen finden Sie unter Suchen nach Bedrohungen mit Microsoft Sentinel.
Um mehr über das Hunting und darüber zu erfahren, wie es von Microsoft Sentinel unterstützt wird, sehen Sie sich das Einführungs-Webinar zu „Threat Hunting“ an: YouTube, MP4 oder Präsentation. Das Webinar beginnt mit einem Update zu den neuen Features. Um mehr über Hunting zu erfahren, beginnen Sie auf Folie 12. Der YouTube-Link ist bereits so eingestellt, dass Sie dort beginnen.
Auch wenn im Zentrum des Einführungs-Webinars die Tools stehen, geht es beim Hunting insgesamt um Sicherheit. Das Webinar unseres Sicherheitsforschungsteams (YouTube, MP4 oder Präsentation) konzentriert sich auf das eigentliche Hunting.
Im nächsten Webinar „AWS-Threat-Hunting mit Microsoft Sentinel“ (YouTube, MP4 oder Präsentation) geht es zentral um ein End-to-End-Hunting-Szenario in einer Zielumgebung von hohem Wert.
Zuletzt erfahren Sie, wie Sie ein Hunting nach einem SolarWinds-Hack mit Microsoft Sentinel und WebShell Hunting durchführen, das auf die jüngsten Sicherheitsrisiken bei stationären Microsoft Exchange-Servern zurückgeht.
Modul 18: User and Entity Behavior Analytics (UEBA)
Das von Microsoft Sentinel neu eingeführte Modul User and Entity Behavior Analytics (UEBA) ermöglicht es Ihnen, Bedrohungen innerhalb Ihrer Organisation und deren potenzielle Auswirkungen zu identifizieren und zu untersuchen, und zwar unabhängig davon, ob es sich um eine gefährdete Entität oder einen böswilligen Insider handelt.
Microsoft Sentinel sammelt zeit- und peergruppenübergreifend Protokolle und Warnungen von allen verbundenen Datenquellen, analysiert sie und erstellt Baselineprofile für das Verhalten von Entitäten einer Organisation (Benutzer, Hosts, IP-Adressen und Anwendungen). Mit verschiedenen Techniken und Machine Learning-Funktionen kann Microsoft Sentinel anomale Aktivitäten erkennen und Sie dabei unterstützen, festzustellen, ob eine Ressource kompromittiert wurde. Darüber hinaus können Sie mit dieser Funktion auch die relative Vertraulichkeitsstufe bestimmter Ressource ermitteln, Ressourcenpeergruppen erkennen und die potenzielle Auswirkung einer bestimmten kompromittierten Ressource (deren „Auswirkungsgrad“) bewerten. Mit diesen Informationen können Sie Ihre Untersuchungen und die Behandlung von Vorfällen effektiv priorisieren.
Erfahren Sie mehr über UEBA, indem Sie sich das Webinar ansehen (YouTube, MP4 oder Präsentation) und lesen Sie über die Verwendung von UEBA für Untersuchungen in Ihrem SOC.
Informationen zu den neuesten Updates finden Sie im Webinar „Die Zukunft der Analyse von Benutzerentitätenverhalten in Microsoft Sentinel“.
Modul 19: Überwachen der Integrität von Microsoft Sentinel
Ein Teil der Arbeit mit einem SIEM, der sich in Azure Microsoft Sentinel weiterentwickelt, besteht darin, sicherzustellen, dass es reibungslos funktioniert. Verwenden Sie Folgendes, um die Integrität von Microsoft Sentinel zu überwachen:
Messen der Effizienz Ihrer Sicherheitsvorgänge (Video).
Die Datentabelle „Microsoft Sentinel-Integrität“ bietet Einblicke in Integritätsabweichungen, z. B. aktuelle Fehlerereignisse pro Connector oder Informationen zu Connectors, bei denen Änderungen vom Zustand „Erfolg“ zu „Fehler“ aufgetreten sind, die Sie zum Erstellen von Warnungen und anderen automatisierten Aktionen verwenden können. Weitere Informationen finden Sie unter Überwachen der Integrität Ihrer Datenconnectors. Sehen Sie sich das Video „Arbeitsmappe Systemüberwachung für Datenconnectors“ an. Und erhalten Sie Benachrichtigungen zu Anomalien.
Überwachen von Agents mit der Integritätslösung für Agents (nur Windows) und der Heartbeat-Tabelle (Linux und Windows).
Überwachen des Log Analytics-Arbeitsbereichs: YouTube, MP4 oder Präsentation, einschließlich Abfrageausführung und Erfassungsintegrität.
Die Kostenverwaltung ist ebenfalls ein wichtiges Verfahren im Betrieb des SOC. Verwenden Sie das Playbook zu den Warnungen zu Datenerfassungskosten, um sicherzustellen, dass Sie rechtzeitig Informationen über etwaige Kostensteigerung erhalten.
Teil 5: Erweitert
Modul 20: Erweitern und Integrieren mithilfe von Microsoft Sentinel-APIs
Als Cloud-natives SIEM ist Microsoft Sentinel ein API-First-System. Jedes Feature kann über eine API konfiguriert und verwendet werden, sodass es problemlos in andere Systeme integriert werden kann. Dabei können Sie Sentinel mit Ihrem eigenen Code erweitern. Wenn Sie sich durch API verunsichern lassen, keine Sorge. Alles, was über die API verfügbar ist, ist auch über PowerShell verfügbar.
Weitere Informationen zu Microsoft Sentinel-APIs finden Sie in dem kurzen Einführungsvideo und indem Sie den Blogbeitrag lesen. Sehen Sie sich das Webinar „Erweitern und Integrieren von Sentinel (APIs)“ (YouTube, MP4 oder Präsentation) an und lesen Sie den Blogbeitrag Erweiterung von Microsoft Sentinel: APIs, Integration und Verwaltungsautomatisierung.
Modul 21: Erstellen Ihres eigenen Machine-Learning-Modells
Microsoft Sentinel bietet eine großartige Plattform für die Implementierung ihrer eigenen Machine Learning-Algorithmen. Wir nennen es das Build-your-own Machine Learning-Modell oder BYO ML. BYO ML ist für fortgeschrittene Benutzer vorgesehen. Wenn Sie nach integrierten Verhaltensanalysen suchen, verwenden Sie unsere ML-Analyseregeln, das UEBA-Modul oder schreiben Sie Ihre eigenen KQL-basierten Verhaltensanalyseregeln.
Um mit der Einführung Ihres eigenen maschinellen Lernens in Microsoft Sentinel zu beginnen, sehen Sie sich das Video „Build-your-your-own Machine Learning-Modell“ an und lesen Sie den Blogbeitrag Build-your-own Machine Learning-Modellerkennungen im KI-immersed Azure Sentinel SIEM. Sie sollten sich auch die BYO ML-Dokumentation ansehen.
Nächste Schritte
- Aktivitäten vor der Bereitstellung und Voraussetzungen für die Bereitstellung von Microsoft Sentinel
- Schnellstart: Durchführen des Onboardings für Microsoft Sentinel
- Neuerungen in Microsoft Sentinel