Schritt 3. Einlesen von Datenquellen und Konfigurieren der Vorfallerkennung in Microsoft Sentinel
Nachdem Sie den Entwurf und die Implementierung Ihrer Microsoft Sentinel-Arbeitsbereiche abgeschlossen haben, fahren Sie mit dem Erfassen von Datenquellen fort, und konfigurieren Sie die Incidenterkennung.
Lösungen in Microsoft Sentinel bieten eine konsolidierte Möglichkeit, Microsoft Sentinel-Inhalte (z. B. Datenconnectors, Arbeitsmappen, Analysen und Automatisierungen) in Ihrem Arbeitsbereich mit einem einzigen Bereitstellungsschritt abzurufen.
Datenkonnektoren sind so konfiguriert, dass sie die Aufnahme von Daten in den Arbeitsbereich ermöglichen. Nach dem Aktivieren wichtiger Datenpunkte, die in Microsoft Sentinel erfasst werden sollen, müssen User and Entity Behavior Analytics (UEBA) und Analyseregeln ebenfalls aktiviert werden, um anomale und schädliche Aktivitäten zu erfassen. Analyseregeln legen fest, wie Warnungen und Incidents in Ihrer Microsoft Sentinel-Instanz generiert werden. Durch die Anpassung der Analyseregeln an Ihre Anforderungen für die Umgebung und Organisation über die Entitätszuordnung können Sie High-Fidelity-Incidents erzeugen und Warnungsmüdigkeit reduzieren.
Wenn Sie ein Onboarding für Ihren Arbeitsbereich in Unified Security Operations Platform durchgeführt haben, sind die Verfahren in diesem Schritt in den Portalen von Azure und Defender verfügbar.
Voraussetzungen
Bestätigen Sie die Installationsmethode, die erforderlichen Rollen und die Lizenzen, die für die Aktivierung der Datenverbindungen erforderlich sind. Weitere Informationen finden Sie unter Suchen Ihres Microsoft Sentinel-Datenconnectors.
Die folgende Tabelle bietet eine Zusammenfassung der Voraussetzungen, die für die Erfassung wichtiger Datenconnectors in Microsoft Sentinel für Azure- und Microsoft-Dienste erforderlich sind:
| Ressourcentyp | Installationsmethode | Rolle/Erlaubnisse/Lizenzen erforderlich |
|---|---|---|
| Microsoft Entra ID | Native Datenverbindung | Sicherheitsadministrator Anmeldungsprotokolle erfordern eine Microsoft Entra ID P1 oder P2 Lizenz Andere Protokolle benötigen weder P1 noch P2 |
| Microsoft Entra ID Protection | Native Datenverbindung | Sicherheitsadministrator Lizenz: Microsoft Entra ID P2 |
| Azure-Aktivität | Azure Policy | Eigentümerrolle für Abonnements erforderlich |
| Microsoft Defender XDR | Native Datenverbindung | Sicherheitsadministrator Lizenz: Microsoft 365 E5, Microsoft 365 A5 oder eine beliebige andere berechtigte Microsoft Defender XDR-Lizenz |
| Microsoft Defender für Cloud | Native Datenverbindung | Sicherheitsleseberechtigter Um die bidirektionale Synchronisierung zu aktivieren, ist die Rolle Contributor/Security Admin für das Abonnement erforderlich. |
| Microsoft Defender for Identity | Native Datenverbindung | Sicherheitsadministrator Lizenz: Microsoft Defender für Identität |
| Microsoft Defender für Office 365 | Native Datenverbindung | Sicherheitsadministrator Lizenz: Microsoft Defender für Office 365 Plan 2 |
| Microsoft 365 | Native Datenverbindung | Sicherheitsadministrator |
| Microsoft Defender für IoT | Beitrag zum Abonnement mit IoT-Hubs | |
| Microsoft Defender für Cloud-Apps | Native Datenverbindung | Sicherheitsadministrator Lizenz: Microsoft Defender für Cloud Apps |
| Microsoft Defender für den Endpunkt | Native Datenverbindung | Sicherheitsadministrator Lizenz: Microsoft Defender für Endpoint |
| Windows-Sicherheitsereignisse über den Azure Monitor-Agent (AMA) |
Native Datenverbindung mit Agent | Lesen/Schreiben im Log Analytics Arbeitsbereich |
| Syslog | Native Datenverbindung mit Agent | Log Analytics Arbeitsbereich lesen/schreiben |
Schritt 1: Installieren von Lösungen und Aktivieren von Datenconnectors
Verwenden Sie die folgenden Empfehlungen für die Installation von Lösungen und die Konfiguration von Datenconnectors. Weitere Informationen finden Sie unter:
- Microsoft Sentinel Content Hub-Katalog
- Entdecken und Verwalten der integrierten Microsoft Sentinel-Inhalte
Einrichten kostenloser Datenquellen
Konzentrieren Sie sich zunächst auf das Einrichten kostenloser Datenquellen für die Erfassung von Folgendem:
Azure-Aktivitätsprotokolle: Die Erfassung von Azure-Aktivitätsprotokollen ist entscheiden, damit Microsoft Sentinel in der gesamten Umgebung eine Single-Pane-of-Glass-Ansicht bereitstellen kann.
Office 365-Überwachungsprotokolle, einschließlich aller SharePoint-Aktivitäten, Exchange-Administratoraktivitäten und Teams.
Sicherheitswarnungen, einschließlich der Warnungen aus Microsoft Defender for Cloud, Microsoft Defender XDR, Microsoft Defender for Office 365, Microsoft Defender for Identity und Microsoft Defender for Endpoint.
Wenn Sie kein Onboarding für Ihren Arbeitsbereich in Unified Security Operations Platform durchgeführt haben und im Azure-Portal arbeiten, ermöglicht die Erfassung von Sicherheitswarnungen in Microsoft Sentinel es dem Azure-Portal, in der gesamten Umgebung als zentraler Bereich für die Incidentverwaltung zu fungieren. In solchen Fällen beginnt die Untersuchung von Incidents in Microsoft Sentinel und sollte im Microsoft Defender-Portal oder in Defender for Cloud fortgesetzt werden, wenn eine ausführlichere Analyse erforderlich ist.
Weitere Informationen finden Sie unter Microsoft Defender XDR-Vorfälle und Microsoft-Vorfallerstellungsregeln.
Warnungen in Microsoft Defender for Cloud Apps
Weitere Informationen finden Sie unter Preise von Microsoft Sentinel und Kostenlose Datenquellen.
Einrichten kostenpflichtiger Datenquellen
Konzentrieren Sie sich für eine umfassendere Überwachung und Warnungsabdeckung auf das Hinzufügen der Datenconnectors von Microsoft Entra ID und Microsoft Defender XDR. Für die Erfassung von Daten aus diesen Quellen fallen Gebühren an.
Stellen Sie sicher, dass Microsoft Defender XDR-Protokolle an Microsoft Sentinel gesendet werden, wenn eine der folgenden Anforderungen erfüllt werden muss:
- Onboarding in Unified Security Operations Platform, wodurch ein einzelnes Portal für die Verwaltung von Incidents in Microsoft Defender bereitgestellt wird
- Fusion-Warnungen in Microsoft Sentinel, die Datenquellen aus mehreren Produkten korrelieren, um in der gesamten Umgebung mehrstufige Angriffe zu erkennen
- Längere Aufbewahrung als die, die Microsoft Defender XDR bietet
- Automatisierung, die nicht durch die integrierten Korrekturen von Microsoft Defender for Endpoint abgedeckt wird
Weitere Informationen finden Sie unter:
- Integrieren von Microsoft 365 Defender
- Verknüpfen von Daten aus Microsoft Defender XDR mit Microsoft Sentinel
- Verbinden von Microsoft Entra-Daten mit Microsoft Sentinel
Einrichten von Datenquellen pro Umgebung
In diesem Abschnitt werden Datenquellen beschrieben, die Sie in Abhängigkeit von den in Ihrer Umgebung verwendeten Diensten und Bereitstellungsmethoden verwenden sollten.
| Szenario | Datenquellen |
|---|---|
| Azure-Dienste | Verwenden Sie beim Bereitstellen eines der folgenden Dienste in Azure die folgenden Connectors, um die Diagnoseprotokolle dieser Ressourcen an Microsoft Sentinel zu senden: - Azure Firewall - Azure Application Gateway - KeyVault - Azure Kubernetes Service (AKS) - Azure SQL - Netzwerksicherheitsgruppen - Azure Arc-Server Es wird empfohlen, Azure Policy so einzurichten, dass ihre Protokolle an den zugrunde liegenden Log Analytics-Arbeitsbereich weitergeleitet werden. Weitere Informationen finden Sie unter Erstellung von Diagnoseeinstellungen in großem Umfang mit Azure Policy. |
| Virtuelle Computer | Verwenden Sie die folgenden Datenconnectors für lokal oder in anderen Clouds gehostete VMs, deren Protokolle erfasst werden müssen: - Ereignisse in Windows-Sicherheit mithilfe von AMA – Ereignisse über Defender for Endpoint (für Server) - Syslog |
| Virtuelle Netzwerkgeräte bzw. lokale Quellen | Verwenden Sie die folgenden Datenconnectors für virtuelle Netzwerkgeräte oder andere lokale Quellen, die CEF-Protokolle (Common Event Format) oder Syslog-Protokolle generieren: - Syslog via AMA - CEF (Common Event Format) über AMA Weitere Informationen finden Sie unter Erfassen von Syslog- und CEF-Nachrichten für Microsoft Sentinel mit dem Azure Monitor-Agent. |
Suchen Sie daraufhin im Content Hub von Microsoft Sentinel nach anderen Geräten und SaaS-Apps (Software-as-a-Service), für die Protokolle an Microsoft Sentinel gesendet werde müssen.
Weitere Informationen finden Sie unter Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte.
Schritt 2: Aktivieren von User and Entity Behavior Analytics
Aktivieren Sie nach dem Einrichten von Datenconnectors in Microsoft Sentinel User and Entity Behavior Analytics, um verdächtiges Verhalten zu identifizieren, das zu Phishingexploits und letztendlich zu Phishingangriffen wie Ransomware führen könnte. Oft ist die Erkennung von Anomalien durch UEBA die beste Methode, um Zero-Day-Exploits frühzeitig zu erkennen.
Mithilfe von UEBA kann Microsoft Sentinel Verhaltensprofile der Entitäten Ihres Unternehmens über die Zeit und die Peer Group hinweg erstellen, um anomale Aktivitäten zu erkennen. Dieser zusätzliche Nutzen hilft bei der Untersuchung, ob ein Vermögenswert kompromittiert wurde. Da es die Gruppenzugehörigkeit identifiziert, kann dies auch bei der Bestimmung des Explosionsradius der Kompromittierung helfen.
Weitere Informationen finden Sie unter Identifizieren von Bedrohungen mit User and Entity Behavior Analytics
Schritt 3: Aktivieren von Analyseregeln
Analyseregeln bilden das Kernstück von Microsoft Sentinel. Sie legen diese Regeln fest, um Microsoft Sentinel anzuweisen, Sie bei Ereignissen mit einer Reihe von Bedingungen zu benachrichtigen, die Sie als wichtig erachten. Die vorkonfigurierten Entscheidungen, die Microsoft Sentinel trifft, basieren auf User and Entity Behavior Analytics (UEBA) sowie auf Korrelationen von Daten aus mehreren Datenquellen.
Priorisieren Sie beim Aktivieren von Analyseregeln für Microsoft Sentinel die Aktivierung durch verbundene Datenquellen, Organisationsrisiken und die MITRE-Taktik.
Vermeiden duplizierter Incidents
Wenn Sie den Microsoft Defender XDR-Connector aktiviert haben, wird automatisch eine bidirektionale Synchronisierung zwischen Microsoft 365 Defender-Incidents und Microsoft Sentinel eingerichtet.
Um die Erstellung duplizierter Incidents für dieselben Warnungen zu vermeiden, wird empfohlen, alle Regeln für die Erstellung von Incidents von Microsoft für in Microsoft Defender XDR integrierte Produkte zu deaktivieren, einschließlich Defender for Cloud, Defender for Identity, Defender for Office 365, Defender for Cloud Apps und Microsoft Entra ID Protection.
Weitere Informationen finden Sie unter Microsoft Defender XDR-Vorfälle und Microsoft-Vorfallerstellungsregeln.
Verwenden von Fusion-Warnungen
Standardmäßig aktiviert Microsoft Sentinel die Analyseregel Erweiterte Erkennung mehrstufiger Angriffe in Fusion, um mehrstufige Angriffe automatisch zu identifizieren.
Mithilfe von Ereignissen zu anomalem Verhalten und verdächtigen Aktivitäten, die in der gesamten Cyber-Kill-Chain beobachtet werden, generiert Microsoft Sentinel Incidents. Diese erlauben es Ihnen, die Kompromittierungsincidents anzuzeigen, die mindestens zwei Warnungsaktivitäten und ein hohes Maß an Konfidenz aufweisen.
Die Warnungstechnologie von Fusion korreliert allgemeine Datensignale mit einer erweiterten Machine-Learning-Analyse (ML), um bekannte, unbekannte und neue Bedrohungen zu ermitteln. Beispielsweise kann die Fusion-Erkennung die Vorlagen für Anomalieregeln und die geplanten Abfragen, die für das Ransomwareszenario erstellt wurden, mit Warnungen von Diensten der Microsoft Security-Suite koppeln. Zu diesen Diensten zählen unter anderem die folgenden:
- Microsoft Entra ID-Schutz
- Microsoft Defender für Cloud
- Microsoft Defender für IoT
- Microsoft Defender XDR
- Microsoft Defender for Cloud-Apps
- Microsoft Defender für den Endpunkt
- Microsoft Defender for Identity
- Microsoft Defender für Office 365
Verwenden von Anomalieregeln
Anomalieregeln in Microsoft Sentinel sind standardmäßig verfügbar und aktiviert. Anomalieregeln basieren auf Machine-Learning-Modellen und UEBA, die die Daten in Ihrem Arbeitsbereich zum Trainieren nutzen, um ein anomales Verhalten für Benutzer, Hosts und weitere zu kennzeichnen.
Häufig führt ein Phishingangriff zu einem Ausführungsschritt, bei dem es sich unter anderem um die Manipulation bzw. Steuerung eines lokalen Kontos oder eines Cloudkontos oder die Ausführung schädlicher Skripts handeln könnte. Anomalieregeln suchen genau nach diesen Arten von Aktivitäten, zu denen unter anderem die folgenden zählen:
- Entfernen anomaler Kontozugriffe
- Anomale Kontoerstellung
- Anomale Kontolöschung
- Anomale Kontobearbeitung
- Anomalous Code Execution (UEBA)
- Anomale Datenvernichtung
- Anomale Änderung des Defensivmechanismus
- Anomale fehlgeschlagene Anmeldung
- Anomale Kennwortzurücksetzung
- Anomale Berechtigungen gewährt
- Anomale Anmeldung
Überprüfen Sie die Anomalieregeln und den Schwellenwert für den Anomaliescore jeder Regel. Wenn Sie z. B. falsch-positive Ergebnisse beobachten, sollten Sie die Regel duplizieren und den Schwellenwert ändern, indem Sie die in Tune Anomaly Rules beschriebenen Schritte ausführen.
Verwenden der Analyseregel von Microsoft Threat Intelligence
Aktivieren Sie nach der Überprüfung und Änderung von Fusion-Regeln und Anomalieregeln die integrierten Microsoft Threat Intelligence-Analyseregel. Überprüfen Sie, ob diese Regel Ihre Protokolldaten mit den von Microsoft generierten Bedrohungsdaten abgleicht. Microsoft verfügt über ein umfangreiches Repository von Threat Intelligence-Daten, von denen diese Analyseregel eine Teilmenge verwendet, um High-Fidelity-Warnungen und -Incidents zur Selektion durch SOC-Teams (Security Operations Centers) zu generieren.
Führen Sie einen MITRE ATT&CK-Übergang durch
Führen Sie bei aktivierten Fusion-, Anomalie- und Threat Intelligence-Analyseregeln einen MITRE ATT&CK-Übergang durch, der Sie bei der Entscheidung unterstützt, welche verbleibenden Analyseregeln aktiviert werden sollen. Außerdem unterstützt er Sie dabei, die Implementierung eines ausgereiften XDR-Prozesses (Extended Detection and Response) abzuschließen. Dadurch können Sie einen Angriff während seines gesamten Lebenszyklus erkennen und auf diesen reagieren.
Die MITRE ATT&CK-Forschungsabteilung hat die MITRE-Methode erstellt und für eine vereinfachte Implementierung als Teil von Microsoft Sentinel bereitgestellt. Stellen Sie sicher, dass Sie über Analyseregeln verfügen, die den gesamten Ansatz des Angriffsvektors abdecken.
Überprüfen Sie die MITRE-Techniken, die von Ihren vorhandenen aktiven Analyseregeln abgedeckt werden.
Wählen Sie aus der Dropdownliste Simuliert Vorlagen für Analyseregeln und Anomalieregeln aus. Dadurch wird Ihnen angezeigt, welche Taktik und/oder Technik des Angreifers durch Regeln abgedeckt ist und wo Analyseregeln verfügbar sind, die Sie zur Verbesserung Ihrer Abdeckung erwägen sollten.
Beispiel: Überprüfen Sie die Vorlagen für Analyseregeln für die Technik Phishing, und priorisieren Sie die Aktivierung der Regeln, die die Datenquellen gezielt abfragen, für die Sie ein Onboarding in Microsoft Sentinel durchgeführt haben, um potenzielle Phishingangriffe zu erkennen.
Im Allgemeinen weist ein durch Menschen durchgeführter Ransomwareangriff fünf Phasen auf. Dabei fällt Phishing unter Anfänglicher Zugriff, wie auf den folgenden Abbildungen veranschaulicht wird:
Fahren Sie mit den verbleibenden Schritten fort, um die gesamte Kill Chain mit den entsprechenden Analyseregeln abzudecken:
- Erstzugriff
- Diebstahl von Anmeldeinformationen
- Laterale Verschiebung
- Persistenz
- Umgehen von Verteidigungsmaßnahmen
- Exfiltration (hier wird die Ransomware selbst entdeckt)
Empfohlene Schulung
Schulungsinhalte decken Unified Security Operations Platform derzeit nicht ab.
Verbinden von Daten mit Microsoft Sentinel mithilfe von Datenconnectors
| Training | Verbinden von Daten mit Microsoft Sentinel mithilfe von Datenconnectors |
|---|---|
|
Zum Verbinden von Protokolldaten werden in erster Linie die von Microsoft Sentinel bereitgestellten Datenconnectors verwendet. Dieses Modul liefert einen Überblick über die verfügbaren Datenconnectors. |
Verbinden von Protokollen mit Microsoft Sentinel
| Training | Verbinden von Protokollen mit Microsoft Sentinel |
|---|---|
|
Verknüpfen Sie Daten auf Cloudniveau mit Microsoft Sentinel – benutzerübergreifend, anwendungs- und infrastrukturübergreifend sowie lokal als auch in mehreren Clouds. |
Identifizieren von Bedrohungen mithilfe der Verhaltensanalyse
| Training | Identifizieren von Bedrohungen mit Verhaltensanalysen |
|---|---|
|
Zum Verbinden von Protokolldaten werden in erster Linie die von Microsoft Sentinel bereitgestellten Datenconnectors verwendet. Dieses Modul liefert einen Überblick über die verfügbaren Datenconnectors. |
Nächste Schritte
Fahren Sie mit Schritt 4 fort, um auf einen Zwischenfall zu reagieren.
