Schritt 3. Einlesen von Datenquellen und Konfigurieren der Vorfallerkennung in Microsoft Sentinel
Nachdem Sie Ihren Microsoft Sentinel-Arbeitsbereich entworfen und implementiert haben, können Sie mit der Aufnahme von Datenquellen und der Konfiguration der Ereigniserkennung fortfahren.
Datenkonnektoren sind so konfiguriert, dass sie die Aufnahme von Daten in den Arbeitsbereich ermöglichen. Nachdem Sie die wichtigsten Datenpunkte für die Aufnahme in Sentinel aktiviert haben, müssen Sie auch User and Entity Behavior Analytics (UEBA) und Analytic Rules aktivieren, um anomale und bösartige Aktivitäten zu erfassen. Analytische Regeln bestimmen, wie Alarme und Vorfälle in Ihrer Sentinel-Instanz erzeugt werden. Durch die Anpassung der analytischen Regeln an Ihre Umgebung und Ihre organisatorischen Anforderungen mittels Entity Mapping können Sie sehr realitätsnahe Vorfälle erzeugen und die Ermüdung durch Alarme verringern.
Voraussetzungen
Bestätigen Sie die Installationsmethode, die erforderlichen Rollen und die Lizenzen, die für die Aktivierung der Datenverbindungen erforderlich sind. Weitere Informationen finden Sie unter Suchen Ihres Microsoft Sentinel-Datenconnectors.
In der folgenden Tabelle finden Sie eine Zusammenfassung der Voraussetzungen, die für den Ingest der wichtigsten Azure- und Datenkonnektoren erforderlich sind:
| Ressourcentyp | Installationsmethode | Rolle/Erlaubnisse/Lizenzen erforderlich |
|---|---|---|
| Microsoft Entra ID | Native Datenverbindung | Sicherheitsadministrator Anmeldungsprotokolle erfordern eine Microsoft Entra ID P1 oder P2 Lizenz Andere Protokolle benötigen weder P1 noch P2 |
| Microsoft Entra ID-Schutz | Native Datenverbindung | Sicherheitsadministrator Lizenz: Microsoft Entra ID P2 |
| Azure-Aktivität | Azure Policy | Eigentümerrolle für Abonnements erforderlich |
| Microsoft Defender XDR | Native Datenverbindung | Sicherheitsadministrator Lizenz: Microsoft 365 E5, Microsoft 365 A5 oder eine beliebige andere berechtigte Microsoft Defender XDR-Lizenz |
| Microsoft Defender für Cloud | Native Datenverbindung | Sicherheitsleseberechtigter Um die bidirektionale Synchronisierung zu aktivieren, ist die Rolle Contributor/Security Admin für das Abonnement erforderlich. |
| Microsoft Defender for Identity | Native Datenverbindung | Sicherheitsadministrator Lizenz: Microsoft Defender für Identität |
| Microsoft Defender für Office 365 | Native Datenverbindung | Sicherheitsadministrator Lizenz: Microsoft Defender für Office 365 Plan 2 |
| Office 365 | Native Datenverbindung | Sicherheitsadministrator |
| Microsoft Defender für IoT | Beitrag zum Abonnement mit IoT-Hubs | |
| Microsoft Defender für Cloud-Apps | Native Datenverbindung | Sicherheitsadministrator Lizenz: Microsoft Defender für Cloud Apps |
| Microsoft Defender für den Endpunkt | Native Datenverbindung | Sicherheitsadministrator Lizenz: Microsoft Defender für Endpoint |
| Windows-Sicherheitsereignisse über den Azure Monitor Agent (AMA) | Native Datenverbindung mit Agent | Lesen/Schreiben im Log Analytics Arbeitsbereich |
| Syslog | Native Datenverbindung mit Agent | Log Analytics Arbeitsbereich lesen/schreiben |
Schritt 1: Schalten Sie die Datenverbindungen ein
Verwenden Sie die folgenden Empfehlungen, um mit der Konfiguration von Datenkonnektoren zu beginnen:
Konzentrieren Sie sich auf die Einrichtung freier Datenquellen für die Aufnahme:
Azure-Aktivitätsprotokolle: Die Aufnahme von Azure-Aktivitätsprotokollen ist entscheidend dafür, dass Sentinel einen Überblick über die gesamte Umgebung bieten kann.
Office 365-Überwachungsprotokolle, einschließlich aller SharePoint-Aktivitäten, Exchange-Administratoraktivitäten und Teams.
Sicherheitswarnungen, einschließlich Warnungen von Microsoft Defender for Cloud, Microsoft Defender XDR, Microsoft Defender for Office 365, Microsoft Defender for Identity und Microsoft Defender for Endpoint.
Die Aufnahme von Sicherheitswarnungen in Sentinel ermöglicht es, dass Sentinel die „zentrale Stelle für das Management von Zwischenfällen“ in der gesamten Umgebung ist.
Die Untersuchung von Incidents beginnt in Sentinel und sollte im Microsoft Defender-Portal oder Defender for Cloud fortgesetzt werden, wenn eine tiefgreifendere Analyse erforderlich ist.
Hinweis
Wenn Sie den Microsoft Defender XDR-Connector aktiviert haben, wird automatisch eine bidirektionale Synchronisierung zwischen 365 Defender Incidents und Sentinel eingerichtet. Um die Erstellung doppelter Incidents für dieselben Warnungen zu vermeiden, wird empfohlen, dass die Kunden alle Regeln zur Erstellung von Microsoft-Incidents für integrierte Microsoft Defender XDR-Produkte (Defender for Endpoint, Defender for Identity, Defender for Office 365, Defender for Cloud Apps und Microsoft Entra ID Protection) deaktivieren. Weitere Informationen finden Sie unter Microsoft Defender XDR-Vorfälle und Microsoft-Vorfallerstellungsregeln.
Microsoft Defender für Cloud-Apps-Warnungen.
Weitere Informationen finden Sie unter Kostenlose Datenquellen.
In der folgenden Tabelle sind die freien Datenquellen aufgeführt, die Sie in Microsoft Sentinel aktivieren können:
Tipp
Weitere Informationen zu den aktuellen Preisen von Sentinel finden Sie unter Preisgestaltung für Microsoft Sentinel.
Microsoft Sentinel-Datenconnector Freier Datentyp Azure-Aktivitätsprotokolle AzureActivity Microsoft Entra ID-Schutz SecurityAlert (IPC) Office 365 OfficeActivity (SharePoint)
OfficeActivity (Exchange)
OfficeActivity (Teams)Microsoft Defender für Cloud SecurityAlert (Defender für Cloud) Microsoft Defender für IoT SecurityAlert (Defender für IoT) Microsoft Defender XDR SecurityIncident
SecurityAlertMicrosoft Defender für den Endpunkt Sicherheitsalarm (Microsoft Defender Advanced Threat Protection (MDATP)) Microsoft Defender for Identity SecurityAlert (Azure Advanced Threat Protection (AATP)) Microsoft Defender für Cloud-Apps SecurityAlert (Defender for Cloud Apps) Um eine umfassendere Überwachung und Alarmierung zu ermöglichen, konzentrieren Sie sich auf die folgenden Datenverbindungen:
Hinweis
Die Übernahme von Daten aus den im Abschnitt aufgeführten Quellen ist kostenpflichtig
Microsoft Entra ID
Microsoft Defender XDR-Connectors
Senden Sie Microsoft Defender XDR-Protokolle an Sentinel, falls eine der folgenden Anforderungen erfüllt werden muss:
Nutzen Sie Fusion Alerts mit Sentinel.
- Fusion korreliert Datenquellen aus mehreren Produkten, um mehrstufige Angriffe in der gesamten Umgebung zu erkennen.
Längere Aufbewahrung als die in Microsoft Defender XDR angebotene
Automatisierung, die nicht von den integrierten Abhilfemaßnahmen von Microsoft Defender für Endpoint abgedeckt wird. Weitere Informationen finden Sie unter Wartungsaktionen in Microsoft Defender XDR.
Wenn Sie die Ressourcen in Azure einsetzen, verwenden Sie die folgenden Konnektoren, um die Diagnoseprotokolle dieser Ressourcen an Sentinel zu senden:
- Azure Firewall
- Azure Application Gateway
- KeyVault
- Azure Kubernetes Service
- Azure SQL
- Netzwerksicherheitsgruppen
- Azure-Arc-Server
Die empfohlene Methode ist die Einrichtung einer Azure-Richtlinie, die vorschreibt, dass die Protokolle an den zugrunde liegenden Log Analytics-Arbeitsbereich weitergeleitet werden. Weitere Informationen finden Sie unter Erstellung von Diagnoseeinstellungen in großem Umfang mit Azure Policy.
Für virtuelle Maschinen, die vor Ort oder in anderen Clouds gehostet werden und deren Protokolle gesammelt werden müssen, verwenden Sie:
- Windows-Sicherheitsereignisse mit AMA
- Sicherheitsereignisse mit Legacy Agent
- Ereignisse über Defender für Endpoint (für Server)
- Syslog-Verbindung
Für Network Virtual Appliances oder andere lokale Quellen, die Common Event Format (CEF) oder SYSLOG-Protokolle erzeugen, verwenden Sie den folgenden Connector:
- CEF (Common Event Format) über AMA
- Common Event Format (CEF) über Legacy Agent
Weitere Informationen finden Sie unter, Einrichtung eines Log-Forwarders zur Aufnahme von Syslog- und CEF-Protokollen in Microsoft Sentinel.
Ziehen Sie in Erwägung, vom alten Agenten auf die neue, einheitliche Azure Monitor Agent-Anleitung zu migrieren. Weitere Informationen finden Sie unter Migration von Legacy-Agenten zu Azure Monitor Agent.
Suchen Sie im Content Hub nach anderen Geräten, Software-as-a-Service (SaaS)-Anwendungen, für die Protokolle an Sentinel gesendet werden müssen. Weitere Informationen finden Sie unter Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte.
Schritt 2: Aktivieren Sie die Verhaltensanalyse für Benutzerentitäten
Stellen Sie nach der Einrichtung von Datenkonnektoren in Sentinel sicher, dass Sie die Verhaltensanalyse für Benutzerentitäten aktivieren, um verdächtiges Verhalten zu erkennen, das zu Phishing-Angriffen und schließlich zu Angriffen wie Ransomware führen könnte. Oft ist die Erkennung von Anomalien durch UEBA die beste Methode, um Zero-Day-Exploits frühzeitig zu erkennen.
Erforderliche Datenquellen:
- Active Directory-Protokolle (Microsoft Defender for Identity)
- Microsoft Entra ID
- Überwachungsprotokolle
- Azure-Aktivität
- Sicherheitsereignisse
- Anmeldeprotokolle
Mithilfe von UEBA kann Microsoft Sentinel Verhaltensprofile der Entitäten Ihres Unternehmens über die Zeit und die Peer Group hinweg erstellen, um anomale Aktivitäten zu erkennen. Dieser zusätzliche Nutzen hilft bei der Untersuchung, ob ein Vermögenswert kompromittiert wurde. Da es die Gruppenzugehörigkeit identifiziert, kann dies auch bei der Bestimmung des Explosionsradius der Kompromittierung helfen.
Schritt 3: Analytische Regeln aktivieren
Das Gehirn von Sentinel wird von den analytischen Regeln gesteuert. Dies sind Regeln, mit denen Sie Sentinel anweisen, Sie bei Ereignissen zu alarmieren, die eine Reihe von Bedingungen erfüllen, die Sie für wichtig erachten. Die sofort einsatzbereiten Entscheidungen von Sentinel basieren auf User Entity Behavioral Analytics (UEBA) und auf Korrelationen von Daten aus verschiedenen Datenquellen.
Hinweis
Wenn Sie den Microsoft Defender XDR-Connector aktiviert haben, wird automatisch eine bidirektionale Synchronisierung zwischen 365 Defender Incidents und Sentinel eingerichtet. Um die Erstellung doppelter Incidents für dieselben Warnungen zu vermeiden, wird empfohlen, dass die Kunden alle Regeln zur Erstellung von Microsoft-Incidents für integrierte Microsoft Defender XDR-Produkte (Defender for Endpoint, Defender for Identity, Defender for Office 365, Defender for Cloud Apps und Microsoft Entra ID Protection) deaktivieren. Weitere Informationen finden Sie unter Microsoft Defender XDR-Vorfälle und Microsoft-Vorfallerstellungsregeln.
Microsoft Sentinel aktiviert standardmäßig die Analyseregel Fusion Advanced zur Erkennung mehrstufiger Angriffe, um automatisch mehrstufige Angriffe zu erkennen. Microsoft Sentinel nutzt anomales Verhalten und verdächtige Aktivitäten, die in der gesamten Cyber-Kill-Chain beobachtet werden, und generiert Vorfälle, die es Ihnen ermöglichen, die Kompromittierungsvorfälle mit zwei oder mehr Alarmaktivitäten mit einem hohen Maß an Sicherheit zu erkennen.
Die Fusion Alert-Technologie korreliert eine Vielzahl von Datensignalen mit einer erweiterten Analyse des maschinellen Lernens (ML), um bekannte, unbekannte und neue Bedrohungen zu erkennen. So kann die Fusion-Erkennung beispielsweise die Vorlagen für Anomalie-Regeln und die geplanten Abfragen, die für das Ransomware-Szenario erstellt wurden, mit den Warnmeldungen der Produkte der Microsoft Security Suite kombinieren:
- Microsoft Entra ID-Schutz
- Microsoft Defender für Cloud
- Microsoft Defender für IoT
- Microsoft Defender XDR
- Microsoft Defender for Cloud-Apps
- Microsoft Defender für den Endpunkt
- Microsoft Defender for Identity
- Microsoft Defender für Office 365
Eine weitere Gruppe von Regeln, die standardmäßig aktiviert sind, sind die Anomalie-Regeln in Sentinel. Diese basieren auf Machine Learning-Modellen und UEBA, die auf den Daten in Ihrem Arbeitsbereich trainieren, um anomales Verhalten bei Benutzern, Hosts und anderen zu erkennen. Häufig führt ein Phishing-Angriff zu einem Ausführungsschritt wie der Manipulation/Kontrolle eines lokalen oder Cloud-Kontos oder der Ausführung eines bösartigen Skripts. Anomalie-Regeln suchen genau nach dieser Art von Aktivitäten:
- Entfernen anomaler Kontozugriffe
- Anomale Kontoerstellung
- Anomale Kontolöschung
- Anomale Kontobearbeitung
- Anomalous Code Execution (UEBA)
- Anomale Datenvernichtung
- Anomale Änderung des Defensivmechanismus
- Anomale fehlgeschlagene Anmeldung
- Anomale Kennwortzurücksetzung
- Anomale Berechtigungen gewährt
- Anomale Anmeldung
Überprüfen Sie die Anomalie-Regeln und die Anomalie-Schwellenwerte für jede einzelne Anomalie. Wenn Sie z. B. falsch-positive Ergebnisse beobachten, sollten Sie die Regel duplizieren und den Schwellenwert ändern, indem Sie die in Tune Anomaly Rules beschriebenen Schritte ausführen.
Nachdem Sie die Fusion- und Anomalie-Regeln überprüft und geändert haben, aktivieren Sie die sofort einsetzbare Microsoft Threat Intelligence Analytics-Regel. Überprüfen Sie, ob diese Regel Ihre Protokolldaten mit den von Microsoft generierten Bedrohungsdaten abgleicht. Microsoft verfügt über einen riesigen Bestand an Bedrohungsdaten, und diese analytische Regel verwendet eine Teilmenge davon, um zuverlässige Warnungen und Vorfälle zu generieren, die von den SOC-Teams (Security Operations Center) ausgewertet werden können.
Mit aktivierten Fusion-, Anomaly- und Threat Intelligence-Analyseregeln sollten Sie einen MITRE Att&ck-Übergang durchführen, der Ihnen bei der Entscheidung hilft, welche verbleibenden Analyseregeln aktiviert werden sollen, und um die Implementierung eines ausgereiften XDR-Prozesses (erweiterte Erkennung und Antwort) abzuschließen. So können Sie den gesamten Lebenszyklus eines Angriffs erkennen und darauf reagieren.
Die MITRE Att&ck-Forschungsabteilung hat die MITRE-Methode erstellt und als Teil von Microsoft Sentinel bereitgestellt, um Ihre Implementierung zu vereinfachen. Sie sollten sicherstellen, dass Sie analytische Regeln haben, die die Länge und Breite des Angriffsvektor-Ansatzes abdecken. Beginnen Sie damit, die MITRE-Techniken zu überprüfen, die von Ihren bestehenden „aktiven“ Analyseregeln abgedeckt werden, und wählen Sie dann „Vorlagen für Analyseregeln“ und „Anomalie-Regeln“ in der Dropdown-Liste „Simuliert“. Jetzt wird Ihnen angezeigt, wo Sie die Taktik und/oder Technik des Gegners abgedeckt haben und wo es verfügbare Analyseregeln gibt, die Sie aktivieren sollten, um Ihre Abdeckung zu verbessern. Um beispielsweise potenzielle Phishing-Angriffe zu erkennen, überprüfen Sie die Analyse-Regelvorlagen für die Phishing-Technik und aktivieren Sie vorrangig die Regeln, die speziell die Datenquellen abfragen, die Sie in Sentinel integriert haben.
Im Allgemeinen gibt es fünf Phasen eines von Menschen durchgeführten Ransomware-Angriffs, und Phishing fällt unter den Erstzugang, wie Sie im Screenshot unten sehen können. Fahren Sie mit den verbleibenden Schritten fort, um die gesamte Kill Chain mit entsprechenden analytischen Regeln abzudecken:
- Erstzugriff
- Diebstahl von Anmeldeinformationen
- Laterale Verschiebung
- Persistenz
- Umgehen von Verteidigungsmaßnahmen
- Exfiltration (hier wird die Ransomware selbst entdeckt)
Zusammenfassend lässt sich sagen, dass Sie bei der Aktivierung von Analyseregeln für Sentinel die Prioritäten nach verbundenen Datenquellen, dem Unternehmensrisiko und der MITRE-Taktik setzen sollten.
Empfohlene Schulung
Verbinden von Daten mit Microsoft Sentinel mithilfe von Datenconnectors
| Training | Verbinden von Daten mit Microsoft Sentinel mithilfe von Datenconnectors |
|---|---|
|
Zum Verbinden von Protokolldaten werden in erster Linie die von Microsoft Sentinel bereitgestellten Datenconnectors verwendet. Dieses Modul liefert einen Überblick über die verfügbaren Datenconnectors. |
Verbinden von Protokollen mit Microsoft Sentinel
| Training | Verbinden von Protokollen mit Microsoft Sentinel |
|---|---|
|
Verknüpfen Sie Daten auf Cloudniveau mit Microsoft Sentinel – benutzerübergreifend, anwendungs- und infrastrukturübergreifend sowie lokal als auch in mehreren Clouds. |
Identifizieren von Bedrohungen mithilfe der Verhaltensanalyse
| Training | Identifizieren von Bedrohungen mit Verhaltensanalysen |
|---|---|
|
Zum Verbinden von Protokolldaten werden in erster Linie die von Microsoft Sentinel bereitgestellten Datenconnectors verwendet. Dieses Modul liefert einen Überblick über die verfügbaren Datenconnectors. |
Nächste Schritte
Fahren Sie mit Schritt 4 fort, um auf einen Zwischenfall zu reagieren.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für