Was ist Microsoft Sentinel?

Microsoft Sentinel ist ein skalierbares, cloudnatives Security Information & Event Management (SIEM), das eine intelligente und umfassende Lösung für SIEM und SOAR (Sicherheitsorchestrierung, Automatisierung und Reaktion) bietet. Microsoft Sentinel bietet Cyberthreaterkennung, -untersuchung und -reaktion sowie proaktive Suche mit einer Vogelperspektive auf Ihr Unternehmen.

Microsoft Sentinel enthält auch nativ bewährte Azure-Dienste wie Log Analytics und Logic Apps und erweitert Ihre Untersuchung und Erkennung mit KI. Es verwendet den Datenstrom zu den Bedrohungsinformationen von Microsoft und ermöglicht Ihnen auch die Nutzung Ihrer eigenen Bedrohungsinformationen.

Verwenden Sie Microsoft Sentinel, um die immer komplexeren Angriffe mit Unmengen von Warnungen und lang andauernden Lösungsversuche leichter in den Griff zu bekommen. In diesem Artikel werden die wichtigsten Funktionen in Microsoft Sentinel beleuchtet.

Wichtig

Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Microsoft Sentinel erbt die Methoden zur Manipulationsprüfung und Unveränderlichkeit von Azure Monitor. Azure Monitor ist eine ausschließlich anfügbare Datenplattform, die allerdings Vorkehrungen zum Löschen von Daten für Compliancezwecke bietet.

Dieser Dienst unterstützt Azure Lighthouse. Dies ermöglicht es Dienstanbietern, sich bei ihrem eigenen Mandanten anzumelden, um von Kunden delegierte Abonnements und Ressourcengruppen zu verwalten.

Aktivieren von sofort einsatzbereiten Sicherheitsinhalten

Microsoft Sentinel bietet Sicherheitsinhalte, die in SIEM-Lösungen verpackt sind und es Ihnen ermöglichen, Daten zu erfassen, das System zu überwachen, Warnungen auszugeben, zu suchen, zu untersuchen, zu reagieren und sich mit verschiedenen Produkten, Plattformen und Diensten zu verbinden.

Weitere Informationen finden Sie unter Informationen zu Microsoft Sentinel-Inhalt und -Lösungen.

Erfassen von Daten im großen Stil

Sammeln Sie Daten über alle Benutzer, Geräte, Anwendungen und Infrastrukturen hinweg, und zwar sowohl lokal als auch in verschiedenen Clouds.

In der folgenden Tabelle werden die wichtigsten Funktionen in Microsoft Sentinel für die Datensammlung hervorgehoben.

Funktion Beschreibung Erste Schritte
Sofort einsatzbereite Datenconnectors Viele Connectors sind mit SIEM-Lösungen für Microsoft Sentinel verpackt und bieten Echtzeitintegration. Zu diesen Connectors gehören Microsoft-Quellen und Azure-Quellen wie Microsoft Entra ID, Azure Activity, Azure Storage und vieles mehr.

Sofort einsatzbereite Connectors sind auch für die umfassenderen Sicherheits- und Anwendungsökosysteme für Nicht-Microsoft-Lösungen verfügbar. Sie können auch Common Event Format (CEF), Syslog oder eine REST-API verwenden, um Ihre Datenquellen mit Microsoft Sentinel zu verbinden.
Microsoft Sentinel-Datenconnectors
Benutzerdefinierte Konnektoren Microsoft Sentinel unterstützt das Aufnehmen von Daten aus einigen Quellen ohne dedizierten Connector. Wenn Sie Ihre Datenquelle nicht mithilfe einer vorhandenen Lösung mit Microsoft Sentinel verbinden können, erstellen Sie Ihren eigenen Datenquellenconnector. Ressourcen zum Erstellen benutzerdefinierter Microsoft Sentinel-Connectors
Datennormalisierung Microsoft Sentinel verwendet sowohl die Abfragezeit als auch die Erfassungszeitnormalisierung, um verschiedene Quellen in eine einheitliche, normalisierte Ansicht zu übersetzen. Normalisierung und das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)

Erkennen von Bedrohungen

Ermitteln Sie bisher unentdeckte Bedrohungen, und minimieren Sie falsch positive Ergebnisse mithilfe der Analysefunktionen und unvergleichlichen Informationen zu Bedrohungen von Microsoft.

In der folgenden Tabelle werden die wichtigsten Funktionen in Microsoft Sentinel für die Bedrohungserkennung hervorgehoben.

Capacity Beschreibung Erste Schritte
Analyse Hilft Ihnen, Rauschen zu reduzieren und die Anzahl der Warnungen zu minimieren, die Sie überprüfen und untersuchen müssen. Microsoft Sentinel verwendet Analysen, um Warnungen in Incidents zu gruppieren. Verwenden Sie die sofort einsatzbereiten Analyseregeln oder nutzen Sie sie als Ausgangspunkt, um eigene Regeln zu erstellen. Microsoft Sentinel bietet auch Regeln, mit denen Sie das Netzwerkverhalten abbilden und anschließend nach Anomalien bei Ihren Ressourcen suchen können. Diese Analysen stellen einen Zusammenhang her, indem sie zu verschiedenen Entitäten ausgegebene Warnungen mit geringer Genauigkeit zu Sicherheitsincidents mit hoher Genauigkeit kombinieren. Standardmäßig verfügbare Erkennung von Bedrohungen
MITRE ATT&CK-Abdeckung Microsoft Sentinel analysiert erfasste Daten nicht nur, um Bedrohungen zu erkennen und Sie bei der Untersuchung zu unterstützen, sondern auch um die Art und Abdeckung des Sicherheitsstatus Ihrer Organisation zu visualisieren, basierend auf den Taktiken und Techniken aus dem MITRE ATT&CK®-Framework. Grundlegendes zur Sicherheitsabdeckung durch das MITRE ATT&CK®-Framework
Threat Intelligence Integrieren Sie zahlreiche Quellen der Bedrohungserkennung in Microsoft Sentinel, um böswillige Aktivitäten in Ihrer Umgebung zu erkennen und Sicherheitsermittlern Kontext für fundierte Antwortentscheidungen bereitzustellen. Threat Intelligence in Microsoft Sentinel
Watchlists Korrelieren Sie Daten aus einer Datenquelle, die Sie mit den Ereignissen in Ihrer Microsoft Sentinel-Umgebung bereitstellen. Beispielsweise können Sie eine Watchlist mit einer Liste von hochwertigen Ressourcen, gekündigten Mitarbeitern oder Dienstkonten in Ihrer Umgebung erstellen. Sie können Watchlists in Ihrer Suche, für Erkennungsregeln, bei der Bedrohungssuche sowie in Reaktionsplaybooks verwenden. Watchlists in Microsoft Sentinel
Arbeitsmappen Erstellen Sie interaktive visuelle Berichte mit Arbeitsmappen. Microsoft Sentinel verfügt über integrierte Arbeitsmappenvorlagen, mit denen Sie schnell Einblicke in Ihre Daten gewinnen können, sobald Sie eine Verbindung mit einer Datenquelle herstellen. Oder erstellen Sie Ihre eigenen benutzerdefinierten Arbeitsmappen. Visualisieren gesammelter Daten.

Untersuchen von Bedrohungen

Untersuchen Sie Bedrohungen mit künstlicher Intelligenz (KI) , und verfolgen Sie verdächtige Aktivitäten in großem Stil. Dabei profitieren Sie von der jahrelangen Erfahrung von Microsoft in Sachen Cybersicherheit.

Screenshot einer Incident-Untersuchung mit einer Entität und verbundenen Entitäten in einem interaktiven Diagramm.

In der folgenden Tabelle werden die wichtigsten Funktionen in Microsoft Sentinel für die Bedrohungsuntersuchung hervorgehoben.

Funktion Beschreibung Erste Schritte
Vorfälle Die Microsoft Sentinel-Tools zur detaillierten Untersuchung helfen Ihnen, den Umfang einer potenziellen Sicherheitsbedrohung zu verstehen und ihre Grundursache zu ermitteln. Zum Ermitteln der Grundursache einer Bedrohung können Sie eine Entität im interaktiven Diagramm auswählen, um relevante Fragen zu stellen sowie Detailinformationen für diese Entität und ihre Verbindungen anzuzeigen. Navigieren und Untersuchen von Incidents mit Microsoft Sentinel
Suchen Mit den auf dem MITRE-Framework basierenden leistungsstarken Such- und Abfragetools von Microsoft Sentinel können Sie Sicherheitsbedrohungen für die Datenquellen Ihres Unternehmens proaktiv erkennen, bevor eine Warnung ausgelöst wird. Erstellen Sie benutzerdefinierte Erkennungsregeln basierend auf Ihrer Suchabfrage. Zeigen Sie diese Erkenntnisse dann den Zuständigen für Sicherheitsvorfälle als Warnungen. Hunting nach Bedrohungen mit Microsoft Sentinel
Notebooks Microsoft Sentinel unterstützt Jupyter Notebooks in Azure Machine Learning-Arbeitsbereichen, z. B. umfassende Bibliotheken für maschinelles Lernen, Visualisierung und Datenanalyse.

Verwenden Sie Notebooks in Microsoft Sentinel, um die Möglichkeiten zu erweitern, die Ihnen für Microsoft Sentinel-Daten zur Verfügung stehen. Zum Beispiel:

– Führen Sie Analysen durch, die nicht in Microsoft Sentinel integriert sind, z. B. einige Python-Features für maschinelles Lernen.
– Erstellen Sie Datenvisualisierungen, die nicht in Microsoft Sentinel integriert sind, z. B. benutzerdefinierte Zeitachsen und Prozessstrukturen.
– Integrieren Sie Datenquellen, die sich außerhalb von Microsoft Sentinel befinden, z. B. ein lokales Dataset.
Jupyter-Notizbücher mit Microsoft Sentinel-Suchfunktionen

schnell auf Incidents zu reagieren

Automatisieren Sie häufige Aufgaben, und vereinfachen Sie die Sicherheitsorchestrierung mit Playbooks, die in Azure-Dienste und Ihre vorhandenen Tools integriert werden können. Die Automatisierung und Orchestrierung von Microsoft Sentinel verfügt über eine hochgradig erweiterbare Architektur, die eine skalierbare Automatisierung zur Berücksichtigung neuer Technologien und Bedrohungen ermöglicht.

Playbooks in Microsoft Sentinel basieren auf Workflows, die in Azure Logic Apps erstellt wurden. Wenn Sie beispielsweise das ServiceNow-Ticketsystem verwenden, verwenden Sie Azure Logic Apps, um Ihre Workflows zu automatisieren und bei jeder Generierung bestimmter Warnungen oder Incidents ein Ticket in ServiceNow zu öffnen.

Screenshot eines Beispiels eines automatisierten Workflows in Azure Logic Apps, bei dem ein Incident verschiedene Aktionen auslösen kann.

In der folgenden Tabelle werden die wichtigsten Funktionen in Microsoft Sentinel für die Bedrohungsreaktion hervorgehoben.

Funktion Beschreibung Erste Schritte
Automatisierungsregeln Verwalten Sie die Automatisierung der Behandlung von Incidents in Microsoft Sentinel zentral, indem Sie eine kleine Gruppe von Regeln definieren und koordinieren, die unterschiedliche Szenarien abdecken. Automatisieren der Bedrohungsabwehr in Microsoft Sentinel mit Automatisierungsregeln
Playbooks Automatisieren und koordinieren Sie Ihre Bedrohungsreaktion mithilfe von Playbooks, bei denen es sich um eine Sammlung von Wartungsaktionen handelt. Führen Sie ein Playbook bei Bedarf oder automatisch als Reaktion auf bestimmte Warnungen oder Incidents aus, wenn sie durch eine Automatisierungsregel ausgelöst werden.

Um Playbooks mit Azure Logic Apps zu erstellen, wählen Sie aus einem sich ständig vergrößernden Katalog mit Connectors für verschiedene Dienste und Systeme wie ServiceNow, Jira und weitere aus. Mit diesen Connectors können Sie eine beliebige benutzerdefinierte Logik in Ihrem Workflow anwenden.
Automatisieren der Bedrohungsabwehr mit Playbooks in Microsoft Sentinel

Liste aller Logic Apps-Connectors