Bedrohungen mit Microsoft Sentinel erkennen (Regeln und Warnungen erstellen)

Bedrohungen mit Microsoft Sentinel erkennen (Regeln und Warnungen erstellen)

01.03.2024

Dieser technische und lehrreiche Artikel soll Sicherheitsanalysten, IT-Administratoren und Systemingenieuren dabei helfen, Bedrohungen mithilfe von Microsoft Sentinel, Microsoft Cloud-nativem SIEM (Security Information and Event Management) und SOAR (Security Orchestration, Automation and Response) proaktiv zu erkennen. Microsoft Sentinel bietet eine einheitliche Sicht auf die Sicherheit im gesamten Unternehmen, indem es Daten aus mehreren Quellen sammelt, Bedrohungen erkennt, Vorfälle untersucht und automatisiert darauf reagiert [1].

Einführung

In einer immer komplexeren und umfangreicheren Cyber-Bedrohungslandschaft benötigen Unternehmen Tools, die nicht nur Sicherheitsdaten sammeln, sondern diese auch intelligent analysieren, um bösartige Aktivitäten zu identifizieren. Microsoft Sentinel schließt diese Lücke, indem es Sicherheitsteams ermöglicht, Bedrohungen in Echtzeit zu überwachen, zu erkennen und darauf zu reagieren. Das Erstellen von Analyseregeln und Warnungen ist das Herzstück der Erkennungsfunktionen von Sentinel und wandelt große Mengen an Protokollen in umsetzbare Erkenntnisse um [2].

Dieser praktische Leitfaden behandelt die Konfiguration von Analyseregeln in Azure Sentinel, von der Datenerfassung über die Erstellung benutzerdefinierter Warnungen bis hin zur Validierung ihrer Wirksamkeit. Es werden Schritt-für-Schritt-Anleitungen, Beispielabfragen für KQL (Kusto Query Language) und Beschreibungen bereitgestellt, damit der Leser die Bedrohungserkennung in seiner Umgebung implementieren und optimieren, seinen Sicherheitsstatus stärken und die Reaktion auf Vorfälle beschleunigen kann.

Warum Azure Sentinel zur Bedrohungserkennung?

  • Cloud-Skalierbarkeit: Basierend auf Azure bietet es unbegrenzte Skalierbarkeit für die Protokollaufnahme und -speicherung.
  • Integrierte Bedrohungsintelligenz: Nutzt Bedrohungsinformationen von Microsoft und Partnern, um die Erkennung zu verbessern.
  • Verhaltensanalyse (UEBA): Identifiziert Anomalien und verdächtiges Verhalten von Benutzern und Entitäten.
  • Automatisierung (SOAR): Ermöglicht die Automatisierung von Reaktionen auf Vorfälle über Playbooks.
  • Umfassende Sichtbarkeit: Stellt eine Verbindung zu mehreren Datenquellen her, darunter Microsoft 365, Azure, AWS, Google Cloud und Sicherheitslösungen von Drittanbietern.

Voraussetzungen

Um die Bedrohungserkennung mit Azure Sentinel zu konfigurieren, benötigen Sie die folgenden Elemente:

  1. Azure-Abonnement: Ein aktives Microsoft Azure-Abonnement.
  2. Administratorzugriff: Ein Konto mit Sentinel-Mitwirkender- oder Log Analytics-Administratorberechtigungen im Azure-Portal („portal.azure.com“).
  3. Log Analytics-Arbeitsbereich: Ein konfigurierter Log Analytics-Arbeitsbereich, der als Datenrepository für Sentinel dient.
  4. Microsoft Sentinel Active: Microsoft Sentinel muss im Log Analytics-Arbeitsbereich aktiviert sein.
  5. Konfigurierte Datenkonnektoren: Sicherheitsdaten (Protokolle) müssen aus Quellen wie Azure AD, Microsoft 365, Microsoft Defender für Endpoint, Firewalls usw. in den Log Analytics-Arbeitsbereich aufgenommen werden. [3]

Schritt für Schritt: Analyseregeln und Alerts erstellen

Erstellen wir eine geplante Analyseregel, um ein häufiges Bedrohungsszenario zu erkennen: mehrere Anmeldefehler in kurzer Zeit, was auf einen Brute-Force-Versuch hindeutet.

1. Überprüfen Sie die Datenanschlüsse

Stellen Sie vor dem Erstellen von Regeln sicher, dass die relevanten Daten erfasst werden. Zur Erkennung von Anmeldefehlern benötigen wir Protokolle von Azure Active Directory (Microsoft Entra ID).

  1. Gehen Sie zum Azure-Portal: „https://portal.azure.com“.
  2. Navigieren Sie zu Microsoft Sentinel.
  3. Wählen Sie im linken Navigationsbereich Datenkonnektoren aus.
  4. Suchen Sie nach Azure Active Directory und überprüfen Sie, ob der Status Verbunden lautet.

2. Erstellen Sie eine geplante Analyseregel

Erstellen wir eine Regel, die innerhalb von 10 Minuten fünf oder mehr Anmeldefehler von derselben IP erkennt.

  1. Wählen Sie in Azure Sentinel im linken Navigationsbereich Analytics aus.
  2. Klicken Sie auf + Erstellen > Geplante Abfrageregel.

Schritt 1: Allgemein

  1. Name: „Azure AD Brute-Force-Versuch“.
  2. Beschreibung: „Erkennt mehrere Azure AD-Anmeldefehler von derselben IP-Adresse innerhalb kurzer Zeit, was auf einen möglichen Brute-Force-Angriff hinweist.“
  3. Taktik: Wählen Sie „Anmeldeinformationszugriff“.
  4. Schweregrad: „Mittel“.
  5. Status: „Aktiviert“.
  6. Klicken Sie auf Weiter: DefiRegellogik definieren.

Schritt 2: Regellogik definieren

  1. Regelabfrage: KQL-Abfrage eingeben:

„Kusto Anmeldeprotokolle | where ResultType == "50126" // Die Validierung der Anmeldeinformationen ist fehlgeschlagen | fassen Sie FailedLogins = count() nach IPAddress, UserPrincipalName, bin(TimeGenerated, 10m) zusammen. | wobei FailedLogins >= 5 ist | Erweitern Sie AccountCustomEntity = UserPrincipalName, IPCustomEntity = IPAddress „

  1. Entitätszuordnung: Ordnen Sie Entitäten zu, um Warnungen anzureichern. Fügen Sie unter Entitätszuordnung Folgendes hinzu:

    • Konto: „AccountCustomEntity“.
    • IP-Adresse: „IPCustomEntity“.

  2. Termin vereinbaren:

    • Abfrage alle ausführen: „10 Minuten“.
    • Neueste Suchdaten: „10 Minuten“.

  3. Alarmlimit: Belassen Sie die Standardeinstellung „Alarm generieren, wenn die Anzahl der Abfrageergebnisse größer als 0 ist“.

Schritt 3: Vorfalleinstellungen

  1. Vorfälle aus durch diese Analyseregel ausgelösten Warnungen erstellen: Aktiviert.
  2. Warnungsgruppierung: „Gruppenwarnungen zu einem einzigen Vorfall, wenn alle Warnungen von derselben Entität generiert werden“.

Schritt 4: Automatisierte Antwort

Optional können Sie ein Playbook (basierend auf Logic Apps) anhängen, um Aktionen wie das Blockieren der IP-Adresse in der Firewall oder das Deaktivieren des Benutzerkontos zu automatisieren.

Schritt 5: Überprüfen und erstellen

Überprüfen Sie alle Einstellungen und klicken Sie auf Erstellen.

Untersuchen von Warnungen und Vorfällen

Wenn die Regel verdächtige Aktivitäten erkennt, wird ein Vorfall erstellt.

  1. Gehen Sie in Azure Sentinel zu Vorfälle.
  2. Klicken Sie auf den von Ihrer Regel generierten Vorfall.
  3. Auf der Seite mit den Vorfalldetails sehen Sie Folgendes:
    • Zeitleiste: Eine Chronologie der Warnungen.
    • Entitäten: Die zugeordneten Entitäten (Benutzer und IP), die weiter untersucht werden können.
    • Untersuchungsdiagramm: Eine grafische Visualisierung der Verbindungen zwischen Entitäten.

Verwenden Sie diese Tools, um das Ausmaß des Angriffs zu verstehen und die erforderlichen Reaktionsmaßnahmen zu ergreifen.

Analytics-Regelvorlagen verwenden

Microsoft Sentinel enthält Hunderte vorgefertigter Regelvorlagen von Microsoft und seiner Sicherheits-Community. Ihre Verwendung ist eine schnelle Möglichkeit, Ihre Erkennungskapazität zu erhöhen.

  1. Gehen Sie in Analyse zur Registerkarte Regelvorlagen.
  2. Filtern Sie nach Datenquellen, MITRE ATT&CK®-Taktiken usw.
  3. Wählen Sie eine relevante Vorlage aus (z. B. „Anomaler Anmeldeort“).
  4. Klicken Sie im Detailbereich auf Regel erstellen. Der Assistent wird mit Vorlagenlogik und -einstellungen gefüllt, die Sie anpassen können, bevor Sie die aktive Regel erstellen.

Fazit

Das Erstellen benutzerdefinierter Analyseregeln in Azure Sentinel ist eine wesentliche Funktion für jedes Sicherheitsteam. Durch die Umwandlung von Rohdaten in umsetzbare Erkennungen können Unternehmen Bedrohungen wie Brute-Force-Angriffe, laterale Bewegungen und Datenexfiltration proaktiv erkennen. In Kombination mit Reaktionsautomatisierung und vorhandenen Regelvorlagen ermöglicht Sentinel Analysten, sich auf das Wesentliche zu konzentrieren: den Schutz des Unternehmens.

Referenzen

[1] Microsoft. (2023). Was ist Microsoft Sentinel? [2] Microsoft. (2023). Anzeigen und Untersuchen von Vorfällen in Microsoft Sentinel. [3] Microsoft. (2023). Arbeiten Sie mit Microsoft Sentinel-Datenkonnektoren.