Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Intelligente Sicherheitsanalysen und Bedrohungsdaten mit Azure Sentinel | Varonis

Geschrieben von Neeraj Kumar | Aug 24, 2021 4:00:00 AM

Daten sind zu einem wichtigen Werkzeug geworden und Sicherheit ist das oberste Gebot für jedes Unternehmen. Es ist fast unmöglich, die großen Mengen von Sicherheitswarnungen, die von Systemen erzeugt werden, korrekt zu analysieren und zu beheben und somit intelligent auf immer fortschrittlichere Angriffe zu reagieren.

Es gibt so viele SIEM-Produkte (Security Information and Event Management) auf dem Markt, aber es fehlt ihnen allen an modernen Funktionen zur gleichzeitigen Integration mit einer Vielzahl von Datenquellen. Dadurch können umsetzbare Erkenntnisse aus den Ergebnissen der Analyse genutzt werden, um zu untersuchen, zu analysieren und zu reagieren. Hier kommt aber Azure Sentinel ins Spiel.

In diesem Artikel werden wir die folgenden Themen behandeln:

Was ist Azure Sentinel?

Azure Sentinel ist eine Cloud-native Lösung für den Aufbau von Next-Gen-Sicherheitsabläufen mit der Cloud und mithilfe von künstlicher Intelligenz (KI). Azure Sentinel ist eine robuste Lösung für Security Information Event Management (SIEM) und Security Orchestration Automated Response (SOAR), die intelligente Sicherheitsanalysen und Bedrohungsinformationen für Unternehmen bereitstellt. Sie hilft dabei, Bedrohungen vorherzusehen und aufzuhalten, bevor sie auftreten und schwere Schäden verursachen können.

Azure Sentinel kann mit verschiedenen Datenquellen im gesamten Unternehmen verbunden werden. Die Datenquellen reichen von Benutzern über Geräte und verschiedene Datenbanken bis hin zu Anwendungen – und sogar Daten aus verschiedenen Mandanten und Clouds. Als Cloud-natives Tool reduziert es den Aufwand des Sicherheitsteams für die Überwachung, Wartung und Skalierung der Infrastruktur und bietet hohe Leistung und Geschwindigkeit für Ihre Sicherheitsanforderungen. Vor allem ist es günstiger im Besitz und Betrieb als andere SIEM-Tools. Sie zahlen für das, was Sie nutzen, und die Rechnungsstellung erfolgt auf Grundlage des analysierten Datenvolumens. Diese Daten werden im Analyse-Arbeitsbereich der Azure-Monitor-Protokolle gespeichert.

Azure Sentinel baut auf der gesamten Palette der Azure-Dienste auf und ergänzt, wie bereits erwähnt, die Untersuchung und Bedrohungserkennung durch künstliche Intelligenz (KI). Es ermöglicht Ihnen auch, Ihre eigenen Bedrohungsinformationen einzubringen und bietet so ein umfangreiches Benutzererlebnis.

Manchmal gibt es Fragen bezüglich der Unterschiede zwischen Azure Sentinel und dem Azure Security Center. Das Azure Security Center ist eine Cloud-Workload-Schutzplattform, die die spezifischen Anforderungen des Server-Workload-Schutzes in modernen hybriden Szenarien erfüllt. Azure Sentinel hingegen ist eine Cloud-native SIEM- und SOAR-Lösung, mit der Ereignisdaten in Echtzeit analysiert werden können, um gezielte Angriffe und Datenschutzverletzungen frühzeitig zu erkennen und zu verhindern. Azure Sentinel verfolgt einen proaktiven Ansatz zur Identifizierung von Bedrohungen, während das Azure Security Center eher einen reaktiven Ansatz nutzt.

Azure Sentinel und Varonis

Die Varonis Data Security Platform überwacht On-Premises- und Cloud-Technologien auf ungewöhnliches Verhalten, das auf Cybersecurity-Vorfälle hindeuten könnte. Unser einzigartiger Ansatz zur Erkennung von Bedrohungen liefert hochgradig zuverlässige Alarme in Sentinel mit einem vollständig angereicherten, plattformübergreifenden und von Menschen lesbaren Ereignisprotokoll, das IR-Teams zur schnellen Diagnose von Alarmen nutzen können.
Varonis-Kunden sehen weniger falsch-positive Meldungen und erreichen eine schnellere Reaktion auf Vorfälle als bei der Verwendung traditioneller SIEMs.

Sie können den einzigartigen Ansatz von Varonis zur Erkennung von Bedrohungen nicht nur zu Ihrem M365 Security Stack hinzufügen, sondern erhalten auch Zugang zu unserem Incident Response Team, das Sie bei der Untersuchung und Behebung von Cybersecurity-Angriffen unterstützt. Das IR-Team von Varonis verfügt über jahrzehntelange Erfahrung im Bereich Cybersicherheit, um Ihre internen Ressourcen so perfekt zu ergänzen und zu verbessern.

Die Kernfunktionen von Azure Sentinel

Microsofts Ziel bei der Überarbeitung des SIEM-Tools war es, Unternehmen die Möglichkeit zu geben, sich ausschließlich auf die Sicherheit zu konzentrieren und in diese zu investieren, statt in die Einrichtung und Wartung der Infrastruktur. Azure Sentinel verfügt über die folgenden einzigartigen und bemerkenswerten Funktionen.

  1. Erfassung von Daten im Cloud-Maßstab: Azure Sentinel ist rein Cloud-basiert. Basierend auf der Protokollanalyse verfügt Azure Sentinel über erstaunliche Skalierungsmöglichkeiten, die die Anbindung an eine Vielzahl von Datenquellen zur Erfassung ermöglichen. Diese Daten können aus O365, aus verschiedenen Anwendungen, über alle Benutzer hinweg, aus verschiedenen Abonnements sowie aus anderen Clouds erfasst werden. Mithilfe von Connectors lässt sich eine Verbindung zu diesen verschiedenen Datenquellen herstellen.
  2. Erkennung zuvor übersehener Bedrohungen: Azure Sentinel erkennt Bedrohungen, die davor nicht erfasst wurden, und minimiert falsch-positive Ergebnisse mithilfe von Analysen und Bedrohungsinformationen von Microsoft. Dadurch wird der Aufwand reduziert, der Sicherheitsteams durch die Untersuchung von Warnungen entsteht, die keine echten Vorfälle sind.
  3. Untersuchung von Bedrohungen mit künstlicher Intelligenz: Azure Sentinel nutzt künstliche Intelligenz für die Untersuchung von Bedrohungen und sucht in großem Umfang nach verdächtigen Aktivitäten. Microsoft bringt mit Azure Sentinel seine eigenen Erfahrungen im Bereich Cybersicherheit ein.
  4. Schnelle Reaktion auf Vorfälle und Ereignisse:
    Die künstliche Intelligenz (KI) sorgt dafür, dass Azure Sentinel schnell auf Bedrohungsvorfälle und -ereignisse reagiert. Es gibt viele Möglichkeiten, nach Bedrohungen zu suchen und die Reaktion entsprechend zu orchestrieren. Es können auch Open-Source-Anwendungen wie Jupyter Notebook verwendet werden.

Zusätzliche wichtige Funktionen von Azure Sentinel

Über die oben erläuterten Kernfunktionen hinaus gibt es bestimmte andere Features, die ebenso wichtig und erwähnenswert sind.

  1. Intelligente integrierte Abfragen: Azure Sentinel verfügt über zahlreiche integrierte Abfragen, die von nichttechnischen Anwendern zur einfachen Überprüfung gängiger Angriffe genutzt werden können.
  2. Integrierte künstliche Intelligenz: Wie bereits erwähnt verfügt Azure Sentinel über integrierte künstliche Intelligenz, um aktiv echte Bedrohungen zu erkennen, zu untersuchen, zu analysieren und zu reagieren. So können Probleme schnell entschärft werden.
  3. Bedrohungsjagd mit Lesezeichen: Die Bedrohungsjagd ermöglicht es, aktiv nach Sicherheitsbedrohungen Ausschau zu halten, bevor Alarme ausgelöst werden, und so ein Vorfall entsteht. Sie können benutzerdefinierte Erkennungsregeln erstellen, um Erkenntnisse an die Oberfläche zu bringen und Benachrichtigungen an Sicherheitsteams zu versenden. Azure Sentinel bietet außerdem die Möglichkeit, verdächtige Ereignisse als Lesezeichen zu speichern, um ähnliche Ereignisse auch in der Zukunft einfach zu entdecken und zu untersuchen. Diese Jagd-Bookmarks können verwendet werden, um Daten direkt über die Registerkarte „Lesezeichen“ zu visualisieren und daraus bei Bedarf direkt Vorfälle zu machen.
  4. Einfache Installation: Azure Sentinel ist ein sehr einfach zu installierendes SIEM-Tool (Security Information Event Management). Die Einrichtung der Infrastruktur ist simpel und erfordert keine komplexe Installation.
  5. Überwachung von Daten mit Azure-Monitor-Arbeitsmappen: Azure Sentinel lässt sich mit Azure-Monitor-Arbeitsmappen integrieren, die zur Überwachung von Daten verwendet werden können. Azure Sentinel ermöglicht zudem die Erstellung von benutzerdefinierten Arbeitsmappen für Ihre gesamten Daten sowie die verfügbaren Standardvorlagen. So können Sie schnell Einblicke gewinnen, sobald die Datenquellen verbunden sind.

Da Sie nun mit den Funktionen von Sentinel vertraut sind, gibt es noch einige Punkte, die erläutert werden sollten. Dabei geht es um Analyse, Sicherheitsautomatisierung und -Orchestrierung sowie die Community.

Analyse

Wie bereits erwähnt verfügt Azure Sentinel über eine integrierte künstliche Intelligenz, die Regeln für maschinelles Lernen bereitstellt. So lassen sich Anomalien über alle konfigurierten Datenquellen hinweg erkennen und melden. Es ist auch möglich, mithilfe der integrierten Regeln eigene Regeln zu erstellen. Analysen helfen dabei, die Puzzleteile zusammenzusetzen. Dadurch kann man kleine Alarme zu einem potenziell schwerwiegenden Sicherheitsvorfall kombinieren und sie aktiv dem Vorfallsreaktionsteam melden.

Sicherheitsautomatisierung und -orchestrierung

In Azure Sentinel gibt es ein Konzept namens „Playbooks“. Playbooks bauen auf der Grundlage von Azure Logic Apps auf und vereinfachen die Sicherheitsorchestrierung, indem sie wiederkehrende, häufige Aufgaben automatisieren. Wie bei den Analyseregeln für das maschinelle Lernen, gibt es vorgefertigte Playbooks mit mehr als 200 Connectors, mit denen Sie auch benutzerdefinierte Logik nutzen können. Ein häufiges Beispiel, das oft in verschiedenen Microsoft-Dokumentationen zu finden ist, ist ServiceNow. Hier kann man Logic Apps verwenden, um jedes Mal ein Ticket in ServiceNow zu erstellen, wenn eine neue Bedrohung innerhalb der Dienste und anderer Workloads in der Organisation erkannt wird.

Community

Die Azure-Sentinel-Community ist eine ständig wachsende Ressource, in der Sicherheitsanalysten permanent neue Arbeitsmappen, Playbooks, Jagdabfragen usw. hinzufügen, die in unserer eigenen Umgebung verwendet werden können. Es ist eine Open-Source-Community, die die Zusammenarbeit zwischen Kunden und Partnern mit GitHub erleichtert. Diese Ressourcen können daher aus dem GitHub-Repository heruntergeladen werden. Sie können sie auch verwenden, um Ihre eigene angepasste Version zu erstellen und diese auf Ihre Anforderungen zuzuschneiden.

Nachfolgend finden Sie die verschiedenen Arten von Inhalten, die in der Community zu finden sind.

Erstellung und Konfiguration von Azure Sentinel

Um Azure Sentinel zu erstellen und zu konfigurieren, müssen wir den Azure-Protokollanalyse-Arbeitsbereich anlegen, da Azure Sentinel auf der Azure-Protokollanalyse aufbaut. Nachdem Azure Sentinel erstellt und konfiguriert ist, werden wir Azure Active Directory als Datenquelle für dieses Tutorial verwenden. Um die Protokoll- und Ereignisdaten anzuzeigen, werden wir die integrierten Arbeitsmappen zum Anzeigen von Anmelde- und Audit-Protokollen und -ereignissen verwenden.

Zum Erstellen und Konfigurieren von Azure Sentinel führen wir die folgenden Schritte aus.

  1. Ressourcengruppe erstellen
  2. Erstellung und Konfiguration von Azure Sentinel
    1. Protokollanalyse-Arbeitsbereich für Azure Sentinel erstellen
    2. Azure Sentinel erstellen
    3. Mit Datenquellen verbinden
  3. Mit Arbeitsmappen zur Datenüberwachung verbinden
    1. Protokolle und Ereignisse mithilfe von Arbeitsmappen anzeigen
    2. Gemeldete Vorfälle anzeigen

Erstellen einer Ressourcengruppe


Der erste Schritt bei der Erstellung einer Ressource innerhalb von Azure ist die Erstellung der Ressourcengruppe. Diese Ressourcengruppen werden innerhalb des Abonnements erstellt und einem Standort zugeordnet.

  1. Melden Sie sich im Azure-Portal an, gehen Sie auf „Ressourcengruppe“ und klicken Sie auf „Hinzufügen“.
  2. Wählen Sie auf der Seite „Ressourcengruppe erstellen“ ein Abonnement aus, geben Sie den Namen der Ressourcengruppe ein und wählen Sie eine Region auf Grundlage Ihres Standorts aus.
  3. Klicken Sie auf „Überprüfen + Erstellen“ und nach Abschluss der Überprüfung auf die Schaltfläche „Erstellen“.

Protokollanalyse-Arbeitsbereich für Azure Sentinel konfigurieren


Nun müssen wir den Protokollanalyse-Arbeitsbereich für Azure Sentinel erstellen, da die vom Azure Security Center erstellten Standard-Arbeitsbereiche nicht in der Liste erscheinen und wir Azure Sentinel darauf nicht installieren können.

  • Geben Sie in der Suchleiste „Azure Sentinel“ ein.
  • Klicken Sie in den Suchergebnissen auf die Option „Azure Sentinel“ und drücken Sie die Eingabetaste.
  • Klicken Sie auf der Azure-Sentinel-Seite im oberen Menü auf „Erstellen“ oder auf die Schaltfläche „Azure Sentinel erstellen“. Sie werden zum Protokollanalyse-Arbeitsbereich weitergeleitet, falls der Arbeitsbereich für Azure Sentinel nicht vorhanden ist.

  • Klicken Sie auf der Seite „Azure Sentinel zu einem Arbeitsbereich hinzufügen“ auf die Schaltfläche „Einen neuen Arbeitsbereich erstellen“
  • Wählen Sie auf der Seite „Protokollanalyse-Arbeitsbereich erstellen“ das Abonnement und die Ressourcengruppe.
  • Geben Sie als Namen „loganalyticsvaronis“ ein.
  • Wählen Sie als Region „USA, Osten 2“ aus.

  • Die anderen Optionen brauchen Sie anschließend nicht zu ändern. Klicken Sie nun auf „Überprüfen+Erstellen“ und, nach der Validierung, auf „Erstellen“.

Azure Sentinel erstellen

  1. Sobald der Azure-Protokollanalyse-Arbeitsbereich erstellt wurde, werden Sie zur Azure-Sentinel-Seite zurückgeleitet. Dort können Sie im oberen Menü auf die Schaltfläche „Erstellen“ klicken oder unten auf die Schaltfläche „Azure Sentinel erstellen“.
  2. Nachdem Sie auf die Schaltfläche „Erstellen“ geklickt haben, werden Sie auf die Seite „Azure Sentinel zu einem Arbeitsbereich hinzufügen“ weitergeleitet.
  3. Wählen Sie den Namen des Arbeitsbereichs – in diesem Fall „loganalyticsvaronis“ – und klicken Sie dann auf die Schaltfläche „Hinzufügen“. Dadurch wird Azure Sentinel dem Protokollanalyse-Arbeitsbereich hinzugefügt. Sie werden anschließend auf die Seite „Neuigkeiten und Anleitungen“ von Azure Sentinel weitergeleitet.

Es gibt bestimmte wichtige Punkte, die bei Azure Sentinel zu beachten sind.

  1. Nach der Bereitstellung von Azure Sentinel in einem Arbeitsbereich kann dieser Arbeitsbereich derzeit nicht in ein anderes Abonnement oder einen anderen Arbeitsbereich verschoben werden.
  2. Wenn Sie den Workspace bereits verschoben haben, deaktivieren Sie alle aktiven Regeln unter „Analyse“ und aktivieren Sie sie nach fünf Minuten erneut. In den meisten Fällen sollte das Abhilfe schaffen. Dennoch möchten wir noch einmal betonen, dass diese Maßnahme nicht unterstützt wird und auf eigenes Risiko erfolgt.

Mit Datenquellen verbinden


Azure Sentinel lässt sich mit einer Vielzahl von Datenquellen verbinden. Derzeit gibt es etwa 98 Connectors, die eine Verbindung zu diesen verschiedenen Datenquellen ermöglichen.

  • Die Datenaufnahme aus Diensten und Apps erfolgt durch Verbindung mit dem Dienst und Weiterleitung der Ereignisse und Protokolle an Azure Sentinel.
  • Für physische und virtuelle Maschinen wird der Protokollanalyse-Agent installiert, der die Protokolle sammelt und an Azure Sentinel weiterleitet.
  • Für Firewalls und Proxies wird der Protokollanalyse-Agent auf einem Linux-Syslog-Server installiert. Von diesem aus sammelt der Agent dann die Protokolldateien und leitet sie an Azure Sentinel weiter.

Im folgenden Beispiel versuchen wir, eine Verbindung mit dem Azure Active Directory herzustellen. Dadurch können wir Protokolle und Ereignisse aus Azure Active Directory in Azure Sentinel streamen. Während der Konfiguration können wir auswählen, welche Arten von Protokollen von Azure AD erfasst und an Azure Sentinel weitergeleitet werden.

  1. Geben Sie auf der Daten-Connectors-Seite „Azure Active Directory“ in die Suchleiste ein, und Sie bekommen die Optionen für Azure AD angezeigt.
  2. Wählen Sie „Azure Active Directory“ aus und klicken Sie dann unten rechts auf die Schaltfläche „Connector-Seite öffnen“
  3. Auf der Seite „Azure Active Directory Connector“ sehen Sie die Voraussetzungen für eine Verbindung mit Azure Active Directory.
  4. Unterhalb der Voraussetzungen befindet sich ein Konfigurationsabschnitt, in dem die Active-Directory-Protokolltypen ausgewählt werden können. Wählen Sie aus den verfügbaren Kontrollkästchen die Anmeldeprotokolle und die Audit-Protokolle aus, und klicken Sie dann auf die Schaltfläche „Änderungen übernehmen“.
     Nachdem die Änderungen übernommen wurden, ist Ihr Azure Sentinel bereit, die Anmelde- und Audit-Protokolle von Azure Active Directory zu erfassen.

Mit Arbeitsmappen zur Datenüberwachung verbinden

  1. Klicken Sie auf der Konfigurationsseite auf die Registerkarte „Nächste Schritte“
  2. Auf der daraufhin angezeigten Seite gibt es eine Liste mit empfohlenen integrierten Arbeitsmappen, die zur Überprüfung der Protokolle verwendet werden können. Wir können auch auf „Zur Arbeitsmappen-Galerie gehen“ klicken, wo wir etwa 90 Vorlagen sehen, aus denen wir wählen können. Für den Moment werden wir die Standard-Arbeitsmappe „Azure-AD-Anmeldeprotokolle“ wählen.
    Hier sehen Sie auch die Abfragebeispiele. Es handelt sich dabei um die Abfragen in Kusto Query Language (KQL), mit denen sich Informationen aus den Tabellen „SigninLogs“ und „AuditLogs“ innerhalb der Protokollanalyse-Datenbank extrahieren lassen.
  3. Nachdem Sie die Arbeitsmappe ausgewählt haben, werden Sie zur Seite „Arbeitsmappen“ weitergeleitet. Hier können Sie die Vorlage „Azure-AD-Anmeldeprotokolle“ auswählen und dann unten rechts auf die Schaltfläche „Speichern“ klicken.
  4. Sobald Sie auf die Schaltfläche „Speichern“ klicken, öffnet sich ein kleines Popup-Fenster, in dem Sie nach einem Speicherort für die Arbeitsmappe gefragt werden. Wählen Sie als Speicherort „USA, Osten 2“ aus und klicken Sie dann auf „OK“.
  5. Sie können die Schritte 1 bis 4 wiederholen, um auch die Arbeitsmappe „Azure-AD-Audit-Protokolle“ zu speichern.

Protokolle und Ereignisse mithilfe von Arbeitsmappen anzeigen

Nachdem die Arbeitsmappen gespeichert wurden, können Sie Ereignisse überwachen und Protokolle für verdächtige Aktivitäten erstellen, wenn diese gemeldet werden.

  1. Um die gemeldeten Ereignisse und Protokolle anzuzeigen, können Sie auch unter „Bedrohungsmanagement“ auf „Arbeitsmappen“ klicken. Hier können Sie die beiden zuvor konfigurierten Arbeitsmappen im gespeicherten Zustand sehen.
  2. Klicken Sie auf die Azure-AD-Anmeldeprotokolle, um die Protokolle und Ereignisse von Azure Active Directory für jedes verdächtige Anmeldeereignis zu sehen, das erkannt und protokolliert wurde.

Gemeldete Vorfälle anzeigen

Von Azure Sentinel gemeldete Vorfälle können, ähnlich wie Arbeitsmappen, auch direkt in Azure Sentinel angezeigt werden.

  1. Rufen Sie die Seite „Azure Sentinel“ auf. Klicken Sie dann auf „Vorfälle“ unter „Bedrohungsmanagement“. Hier können Sie sehen, ob ein Vorfall gemeldet wurde.

Übersicht

Azure Sentinel ist ein leistungsstarkes Cloud-natives SIEM-Tool, das sowohl die Funktionen einer SIEM-Lösung (Security Information Event Management) als auch einer SOAR-Lösung (Security Orchestration Automated Response) bietet. Es bietet intelligente Sicherheitsanalysen und Bedrohungsinformationen für Unternehmen. Mit Azure Sentinel lassen sich Bedrohungen proaktiv und intelligent erkennen, und dank der integrierten künstlichen Intelligenz kann man schneller darauf reagieren. Man kann es als eine Art Blick aus der Vogelperspektive auf das gesamte Unternehmen betrachten. In das Produkt ist die jahrzehntelange Sicherheitserfahrung von Microsoft eingeflossen.

Azure Sentinel eliminiert außerdem den Aufwand für die Einrichtung, Wartung und Skalierung der Infrastruktur. So können sich Sicherheitsteams vollkommen auf das Bedrohungsmanagement konzentrieren, anstatt sich Gedanken über die Infrastruktur-Rahmenbedingungen zu machen, wie das bei anderen heute auf dem Markt erhältlichen SIEM-Tools der Fall ist.