Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die verschiedenen Komponenten einer Microsoft Sentinel-Lösung erläutert und erläutert, wie sie zusammenarbeiten können, um wichtige Kundenszenarien zu behandeln.
Die Sentinel-Plattform umfasst einen Datensee, Graph, Jupyter-Notebook-Aufgaben, einen MCP-Server (Model Context Protocol) und Daten aus mehr als 300 Sentinel-Connectors, um Kunden bei der Zentralisierung und Analyse ihrer Sicherheitsdaten auf kostengünstige Weise zu unterstützen. Mit diesen Funktionen und Microsoft Security Copilot können Kunden und Partner wirkungsvolle Lösungen erstellen, die über den Microsoft Security Store veröffentlicht werden können.
Sentinel SIEM wird von SoC-Teams (Security Operations) verwendet, um Erkennungen zu generieren, bösartiges Verhalten zu untersuchen und Bedrohungen zu beheben. Indem Sentinel-Connectors erstellt werden, um neue Daten bereitzustellen, und indem Inhalte wie Analyseregeln, Playbooks, Suchabfragen, Parser und Arbeitsmappen erstellt werden, können Partner SOC-Teams helfen, Informationen zu erhalten, die sie benötigen, um Bedrohungen zu identifizieren und entsprechend zu reagieren. Sentinel SIEM-Lösungen werden über den Content Hub von Sentinel veröffentlicht.
Datenerfassung
Unabhängig davon, ob Sie eine Lösung erstellen, die Plattformkomponenten verwendet oder auf eine Sentinel SIEM-Integration ausgerichtet ist, ist es wichtig, die richtigen Daten für Ihr Szenario zu haben.
Sentinel Connectors bringen Daten in Sentinel ein, die dann mithilfe von Jupyter-Notizbüchern und Aufträgen im See analysiert oder mit Sentinel SIEM-Inhalten wie Analyseregeln und Suchabfragen behandelt werden können.
Diese Daten können die folgenden Typen enthalten:
| type | BESCHREIBUNG |
|---|---|
| Nicht verarbeitete Daten | Unterstützt Erkennungen und Huntingprozesse. Analyse operativer Rohdaten, in denen Anzeichen für schädliche Aktivitäten vorhanden sein können. Übermitteln Sie nicht verarbeitete Daten an Microsoft Sentinel, um die integrierten Hunting- und Erkennungsfunktionen von Microsoft Sentinel zur Identifizierung neuer Bedrohungen und mehr zu nutzen. Beispiele: Syslog-Daten, CEF-Daten über Syslog, Anwendungs-, Firewall-, Authentifizierungs- oder Zugriffsprotokolle und mehr. |
| Sicherheitsschlussfolgerungen | Erstellen von Warnungssichtbarkeit und Bereitstellen von Korrelationsmöglichkeiten. Warnungen und Erkennungen sind Schlussfolgerungen, die bereits für Bedrohungen erfolgt sind. Die Einordnung von Erkennungen in den Kontext aller Aktivitäten und anderer Erkennungen, die in Microsoft Sentinel-Untersuchungen sichtbar sind, spart den Analysten Zeit und schafft ein vollständigeres Bild eines Incidents, was zu einer besseren Priorisierung und besseren Entscheidungen führt. Beispiele: Antischadsoftware-Warnungen, verdächtige Prozesse, Kommunikation mit bekannten gefährlichen Hosts, Netzwerkdatenverkehr, der blockiert wurde und warum, verdächtige Anmeldungen, erkannte Kennwort-Spray-Angriffe, identifizierte Phishingangriffe, Datenexfiltrationsereignisse und mehr. |
| Verweisdaten: | Erstellen von Kontext mit Umgebungen, auf die verwiesen wird, Einsparen von Untersuchungsaufwand und Erhöhen der Effizienz. Beispiele: CMDBs, Datenbanken mit hochwertigen Ressourcen, Datenbanken mit Anwendungsabhängigkeiten, IP-Zuweisungsprotokolle, Sammlungen von Bedrohungsdaten zur Anreicherung und vieles mehr. |
| Threat Intelligence | Verbessert die Erkennung von Bedrohungen durch das Einbringen von Indikatoren für bekannte Bedrohungen. Threat Intelligence kann aktuelle Indikatoren enthalten, die eine unmittelbare Bedrohung darstellen, oder historische Indikatoren, die für die zukünftige Prävention gespeichert werden. Historische Datasets sind oft groß und werden am besten ad-hoc an Ort und Stelle referenziert, anstatt sie direkt in Microsoft Sentinel zu importieren. |
Parser
Parser sind KQL-Funktionen, die benutzerdefinierte Daten von Drittanbieterprodukten in ein normalisiertes ASIM-Schema umwandeln. Normalisierung stellt sicher, dass SOC-Analysten keine Details zu neuen Schemas erfahren müssen, und erstellen stattdessen Analyseregeln und Suchabfragen für das normalisierte Schema, mit dem sie bereits vertraut sind. Überprüfen Sie die verfügbaren ASIM-Schemas von Microsoft Sentinel, um relevante ASIM-Schemas (ein oder mehrere) für Ihre Daten zu identifizieren, um das Onboarding für SOC-Analysten zu vereinfachen und sicherzustellen, dass der für das ASIM-Schema geschriebene vorhandene Sicherheitsinhalt für Ihre Produktdaten sofort anwendbar ist. Weitere Informationen zu den verfügbaren ASIM-Schemas finden Sie unter ASIM-Schemas (Advanced Security Information Model).
Visualisierung
Sie können Visualisierungen einbeziehen, die Kunden dabei unterstützen, Ihre Daten zu verwalten und zu verstehen, indem Sie grafische Ansichten dazu einbeziehen, wie gut Daten in Microsoft Sentinel fließen und wie effektiv sie zu Erkennungen beiträgt.
Sie können Visualisierungen einbeziehen, die Kunden dabei unterstützen, Ihre Daten zu verwalten und zu verstehen, indem Sie grafische Ansichten dazu einbeziehen, wie gut Daten in Microsoft Sentinel fließen und wie effektiv sie zu Erkennungen beiträgt.
Überwachung und Erkennung
Sentinels Überwachungs- und Erkennungsfeatures erstellen automatisierte Erkennungen, damit Kunden das Know-how ihres SOC-Teams skalieren können.
In den folgenden Abschnitten werden Überwachungs- und Erkennungselemente beschrieben, die Sie in Ihre Lösung einbeziehen können.
Security Copilot-Agenten
Security Copilot Agents automatisieren sich wiederholende Aufgaben und reduzieren manuelle Workloads. Sie verbessern Sicherheit und IT-Abläufe in den Bereichen Cloud, Datensicherheit und Datenschutz, Identität und Netzwerksicherheit. Für Sentinel können Agents den SIEM oder Data Lake abfragen und APIs aufrufen, um Microsoft Sentinel-Daten zu bereichern. Sie können Notizbuchaufträge für eine intensive Datenverarbeitung oder Analyse nutzen und eine beliebige Anzahl von Plug-Ins nutzen.
Jupyter-Notizbuchaufträge
Jupyter-Notizbuchaufträge bieten leistungsstarke Tools zum Ausführen komplexer Datentransformationen und ausführen von Machine Learning-Modellen mithilfe von Spark-Aufträgen in Sentinel Data Lake. Sie können von Security Copilot Agents genutzt werden, um auf deterministische und effiziente Weise Datenanalysen durchzuführen und zu zusammenfassen sowie diese kontinuierlich zu betreiben. Notebook-Aufträge können benutzerdefinierte Datentabellen in die Analyseebene und den Data Lake schreiben, um von nachgelagerten Komponenten wie Agents, Arbeitsmappen, Suchabfragen und weiteren verwendet zu werden.
Analyseregeln
Analyseregeln sind komplexe Erkennungen, die genaue, aussagekräftige Warnungen erstellen können.
Fügen Sie Ihrer Lösung Analyseregeln hinzu, damit Ihre Kunden von Daten aus Ihrem System in Microsoft Sentinel profitieren können. Beispielsweise können Analyseregeln dabei helfen, Fachwissen und Einblicke in die Aktivitäten zu gewinnen, die in den von Ihrer Integration bereitgestellten Daten erkannt werden können.
Sie können Warnungen (wichtige Ereignisse), Vorfälle (Untersuchungseinheiten) ausgeben oder Automatisierungs-Playbooks auslösen.
Sie können Analyseregeln hinzufügen, indem Sie sie in eine Lösung und über die Microsoft Sentinel ThreatHunters-Community einbinden. Tragen Sie über die Community dazu bei, die Kreativität der Community bei den von Partnern bereitgestellten Daten zu fördern, und helfen Sie Ihren Kunden mit zuverlässigeren und effektiveren Erkennungen.
Jagdabfragen
Mit Suchabfragen können SOC-Analysten proaktiv nach neuen Anomalien suchen, die von den derzeit geplanten Analyseregeln nicht erkannt werden. Suchabfragen führen SOC-Analysten dazu, die richtigen Fragen zu stellen, um Probleme aus den Daten zu finden, die bereits in Microsoft Sentinel verfügbar sind, und hilft ihnen, potenzielle Bedrohungsszenarien zu identifizieren. Indem Sie Suchabfragen einschließen, können Sie Kunden helfen, unbekannte Bedrohungen in den von Ihnen bereitgestellten Daten zu finden.
Workbooks
Arbeitsmappen bieten interaktive Berichte und Dashboards, mit denen Benutzer Sicherheitsdaten visualisieren und Muster innerhalb von Daten identifizieren können. Die Notwendigkeit von Arbeitsmappen hängt vom jeweiligen Anwendungsfall ab. Stellen Sie sich beim Entwerfen Ihrer Lösung Szenarien vor, die visuell am besten erläutert werden können, insbesondere für Szenarien zur Nachverfolgung der Leistung.
Untersuchung
Das Sentinel-Untersuchungsdiagramm bietet Ermittlern relevante Daten, wenn sie sie benötigen, und bietet Einblicke in Sicherheitsvorfälle und Warnungen über verbundene Entitäten. Ermittler können das Untersuchungsdiagramm verwenden, um relevante oder verwandte Ereignisse zu finden, die zu der untersuchten Bedrohung beitragen.
Partner können zum Untersuchungsdiagramm beitragen, indem sie Folgendes bereitstellen:
- Microsoft Sentinel-Warnungen und Vorfälle, die über Analyseregeln in Partnerlösungen erstellt wurden.
- Benutzerdefinierte Erkundungsabfragen für vom Partner bereitgestellte Daten. Benutzerdefinierte Erkundungsabfragen bieten umfassende Untersuchungs- und Konnektivitätsmöglichkeiten zwischen Daten und Erkenntnisse für Sicherheitsexperten.
Antwort
Playbooks unterstützen Workflows mit umfassender Automatisierung, die sicherheitsrelevante Aufgaben in kundenübergreifenden Umgebungen ausführen. Sie sind wichtig, um sicherzustellen, dass die SOC-Analysten nicht von taktischen Elementen überlastet werden und sich auf die strategischere und tiefere Ursache der Sicherheitsrisiken konzentrieren können. Wenn beispielsweise eine Warnung mit hohem Schweregrad erkannt wird, kann ein Playbook automatisch eine Reihe von Aktionen initiieren, z. B. das Benachrichtigen des Sicherheitsteams, das Isolieren betroffener Systeme und das Sammeln relevanter Protokolle zur weiteren Analyse.
Playbooks können beispielsweise auf eine der folgenden Arten und vieles mehr helfen:
- Unterstützung von Kunden beim Konfigurieren von Sicherheitsrichtlinien in Partnerprodukten
- Erfassen zusätzlicher Daten zum Treffen von investigativen Entscheidungen
- Verknüpfen von Microsoft Sentinel-Incidents mit externen Verwaltungssystemen
- Integrieren der Verwaltung des Warnungslebenszyklus über Partnerlösungen hinweg
Denken Sie beim Entwerfen Ihrer Lösung an die automatisierten Aktionen, die ausgeführt werden können, um Vorfälle zu beheben, die von den in Ihrer Lösung definierten Analyseregeln erstellt wurden.
Sentinel SIEM-Szenariobeispiele
In den folgenden Abschnitten werden allgemeine Partnerszenarien sowie Empfehlungen, was in eine Lösung für jedes Szenario einbezogen werden sollte, beschrieben.
Ihr Produkt generiert Daten, die für Sicherheitsuntersuchungen wichtig sind.
Szenario: Ihr Produkt generiert Daten, die Sicherheitsuntersuchungen informieren können.
Beispiel: Zu den Produkten, die in irgendeiner Form Protokolldaten liefern, gehören Firewalls, Cloudanwendungs-Sicherheitsbroker, physische Zugangssysteme, Syslog-Ausgaben, handelsübliche und unternehmenseigene Branchenanwendungen, Server, Netzwerkmetadaten sowie alles, was über Syslog im Syslog- oder CEF-Format oder über die REST-API im JSON-Format bereitgestellt werden kann.
Verwenden Ihrer Daten in Microsoft Sentinel: Importieren Sie die Daten Ihres Produkts über einen Datenconnector in Microsoft Sentinel, um Analysen, Hunting, Untersuchungen, Visualisierungen und vieles mehr bereitzustellen.
Zu erstellende Lösung: Nehmen Sie für dieses Szenario die folgenden Elemente in Ihre Lösung auf:
| type | Elemente, die enthalten sein sollten |
|---|---|
| Erforderlich | – Ein Microsoft Sentinel-Datenconnector, um die Daten zu übermitteln und andere Anpassungen im Portal zu verknüpfen. Beispieldatenabfragen |
| Empfohlen | – Arbeitsmappen – Analyseregeln zum Erstellen von Erkennungen basierend auf Ihren Daten in Microsoft Sentinel |
| Optional | – Huntingabfragen, um Ermittlern direkt einsatzbereite Abfragen zu bieten, die bei der Suche verwendet werden können – Notebooks, um eine vollständig geführte, wiederholbare Huntingerfahrung zu bieten |
Ihr Produkt bietet Erkennungen
Szenario: Ihr Produkt bietet Erkennungen, die Warnungen und Incidents aus anderen Systemen ergänzen
Beispiele: Antischadsoftware-, Unternehmenserkennungs- und Reaktionslösungen, Netzwerkerkennungs- und Reaktionslösungen, E-Mail-Sicherheitslösungen wie Antiphishingprodukte, Sicherheitsrisikoüberprüfungen, Lösungen für die Verwaltung mobiler Geräte, UEBA-Lösungen, Informationsschutzdienste usw.
Verwenden Ihrer Daten in Microsoft Sentinel: Stellen Sie Ihre Erkennungen, Warnungen oder Incidents in Microsoft Sentinel zur Verfügung, um sie im Kontext mit anderen Warnungen und Incidents zu zeigen, die möglicherweise in den Umgebungen Ihrer Kunden auftreten. Erwägen Sie auch die Bereitstellung der Protokolle und Metadaten, die Ihre Erkennungen unterstützen, als zusätzlichen Kontext für Untersuchungen.
Zu erstellende Lösung: Nehmen Sie für dieses Szenario die folgenden Elemente in Ihre Lösung auf:
| type | Elemente, die enthalten sein sollten |
|---|---|
| Erforderlich | – Ein Microsoft Sentinel-Datenconnector, um die Daten zu übermitteln und andere Anpassungen im Portal zu verknüpfen. |
| Empfohlen | Analyseregeln zum Erstellen von Microsoft Sentinel-Incidents aus Ihren Erkennungen, die bei Untersuchungen hilfreich sind |
Ihr Produkt stellt Threat Intelligence-Indikatoren zur Verfügung
Szenario: Ihr Produkt stellt Threat Intelligence-Indikatoren bereit, die Kontext für Sicherheitsereignisse bereitstellen können, die in den Umgebungen von Kunden auftreten.
Beispiele: TIP-Plattformen, STIX-/TAXII-Sammlungen und öffentliche oder lizenzierte Threat Intelligence-Quellen. Verweisdaten wie WhoIS, GeoIP oder neu beobachtete Domänen.
Verwenden Ihrer Daten in Microsoft Sentinel: Stellen Sie aktuelle Indikatoren für Microsoft Sentinel zur Verwendung auf allen Microsoft-Erkennungsplattformen zur Verfügung. Verwenden Sie umfangreiche oder historische Datasets für Anreicherungsszenarien über Remotezugriff.
Zu erstellende Lösung: Nehmen Sie für dieses Szenario die folgenden Elemente in Ihre Lösung auf:
| type | Elemente, die enthalten sein sollten |
|---|---|
| Aktuelle Threat Intelligence | Erstellen Sie einen GSAPI-Datenconnector, um Indikatoren an Microsoft Sentinel zu pushen. Stellen Sie einen STIX 2.0- oder 2.1-TAXII-Server zur Verfügung, den Kunden mit dem direkt einsatzbereiten TAXII-Datenconnector verwenden können. |
| Historische Indikatoren und/oder Verweisdatasets | Stellen einen Logik-App-Connector für den Zugriff auf die Daten und ein Playbook für den Anreicherungsworkflow zur Verfügung, das die Daten an die richtigen Stellen weiterleitet. |
Ihr Produkt bietet zusätzlichen Kontext für Untersuchungen
Szenario: Ihr Produkt stellt zusätzliche Kontextdaten für Untersuchungen zur Verfügung, die in Microsoft Sentinel erfolgen.
Beispiele: CMDBs mit zusätzlichem Kontext, hochwertige Ressourcendatenbanken, VIP-Datenbanken, Anwendungsabhängigkeitsdatenbanken, Incident-Verwaltungssysteme, Ticketsysteme
Verwenden Ihrer Daten in Microsoft Sentinel: Verwenden Sie Ihre Daten in Microsoft Sentinel, um Warnungen und Incidents anzureichern.
Zu erstellende Lösung: Nehmen Sie für dieses Szenario die folgenden Elemente in Ihre Lösung auf:
- Ein Logik App-Connector
- Ein Playbook für einen Anreicherungsworkflow
- Ein externer Workflow für die Verwaltung des Incidentlebenszyklus (optional)
Ihr Produkt kann Sicherheitsrichtlinien implementieren
Szenario: Ihr Produkt kann Sicherheitsrichtlinien in Azure Policy und anderen Systemen implementieren.
Beispiele: Firewalls, NDR, EDR, MDM, Identitätslösungen, Lösungen für bedingten Zugriff, Lösungen für physischen Zugriff oder andere Produkte, die Blockierung und Zulassung oder andere umsetzbare Sicherheitsrichtlinien unterstützen
Verwenden Ihrer Daten in Microsoft Sentinel: Microsoft Sentinel-Aktionen und -Workflows, die Korrekturen und Reaktionen auf Bedrohungen ermöglichen
Zu erstellende Lösung: Nehmen Sie für dieses Szenario die folgenden Elemente in Ihre Lösung auf:
- Ein Logik App-Connector
- Ein Aktionsworkflow-Playbook
Referenzen für erste Schritte
Alle Microsoft Sentinel SIEM-Integrationen beginnen mit dem Microsoft Sentinel GitHub-Repository und dem Beitragsleitfaden.
Wenn Sie bereit sind, mit der Arbeit an Ihrer Microsoft Sentinel-Lösung zu beginnen, finden Sie Anweisungen zum Übermitteln, Verpacken und Veröffentlichen im Leitfaden zum Erstellen von Microsoft Sentinel-Lösungen.
Markteinführung
Microsoft bietet die folgenden Programme an, um Partnern zu helfen, Microsoft-Kunden anzusprechen:
Microsoft Partner Network (MPN). Das primäre Programm für eine Partnerschaft mit Microsoft ist das Microsoft Partner Network. Die Mitgliedschaft in MPN ist erforderlich, um ein Herausgeber in Azure Marketplace zu werden. Dort werden alle Microsoft Sentinel-Lösungen veröffentlicht.
Azure Marketplace. Microsoft Sentinel-Lösungen werden über Azure Marketplace bereitgestellt. Dort können Kunden sowohl allgemeine Azure-Integrationen von Microsoft als auch von Partnern entdecken und bereitstellen.
Microsoft Sentinel-Lösungen sind eine von vielen Arten von Angeboten in Marketplace. Sie finden die Lösungsangebote auch eingebettet im Microsoft Sentinel-Inhaltshub.
Microsoft Intelligent Security Association (MISA) MISA unterstützt Sicherheitspartner von Microsoft dabei, das Bewusstsein für die von Partnern geschaffenen Integrationen bei Microsoft-Kunden zu schärfen und die Auffindbarkeit von Integrationen für Microsoft-Sicherheitsprodukte zu verbessern.
Für die Teilnahme am MISA-Programm ist ein Vorschlag eines beteiligten Microsoft-Sicherheitsproduktteams erforderlich. Durch das Erstellen einer der folgenden Integrationen können sich Partner für die Nominierung qualifizieren:
- Microsoft Sentinel-Datenconnector und zugehörige Inhalte wie Arbeitsmappen, Beispielabfragen und Analyseregeln
- Veröffentlichter Logic Apps-Connector und Microsoft Sentinel-Playbooks
- API-Integrationen auf Fall-für-Fall-Basis
Um eine Überprüfung der MISA-Nominierung zu beantragen oder Fragen zu stellen, wenden Sie sich an AzureSentinelPartner@microsoft.com.
Nächste Schritte
Weitere Informationen finden Sie unter
Datensammlung:
- Bewährte Methoden für die Datensammlung
- Microsoft Sentinel-Datenconnectors
- Suchen Ihres Microsoft Sentinel-Datenconnectors
- Grundlegendes zu Threat Intelligence in Microsoft Sentinel
Bedrohungserkennung:
- Automatisierung der Vorfallbehandlung in Microsoft Sentinel mit Automatisierungsregeln
- Untersuchen von Incidents mit Microsoft Sentinel
- Automatisieren der Bedrohungsabwehr mit Playbooks in Microsoft Sentinel
Hunting und Notebooks
- Jagd auf Bedrohungen mit Microsoft Sentinel
- Verwalten von Hunting- und Livestreamabfragen in Microsoft Sentinel über die REST-API
- Verwendung von Jupyter Notebooks für die Suche nach Sicherheitsbedrohungen
Visualisierung: Visualisieren gesammelter Daten.
Untersuchung: Untersuchen von Incidents mit Microsoft Sentinel.
Antwort: