Advertorial
5 Testfälle für SIEM-/SOAR-Implementierung mit Microsoft Sentinel
Bewältigen Sie Vorfälle/Bedrohungen schneller mit nur einer SIEM- und SOAR-Lösung von Microsoft Sentinel. Sie können die Effektivität der Lösung anhand von 5 hier beschriebenen Testfällen überprüfen.
SIEM und SOAR sollten synergetisch zusammenarbeiten, um ein effektives Problemlösungsmanagement zu ermöglichen. Während SIEM Bedrohungsdaten sammelt und analysiert, arbeitet SOAR mit den vom SIEM analysierten Informationen, priorisiert und bearbeitet Bedrohungen und entlastet ein SOC-Team von immer mehr Routineaufgaben.
Viele Sicherheitsteams tendieren zur Implementierung von SaaS-Lösungen wie Microsoft Sentinel, das bereits SIEM- und SOAR-Funktionen vereint und mit KI und zahlreichen Microsoft- und Nicht-Microsoft-Konnektoren angereichert ist:
- Office 365 Protokolle ohne zusätzliche Kosten
- Integrierte und Drittanbieter-Analysen
- Automatisierung von Routineprozessen
- Erkennung von Bedrohungen durch sofort einsatzbereite Funktionen
- Integrierte und anpassbare Konnektoren
Fünf Testanwendungsfälle von Microsoft Sentinel
Basierend auf unserer Erfahrung empfehlen wir, Anwendungsfälle zu testen, um die Fähigkeiten von Microsoft Sentinel zu bewerten. In diesem Blog-Beitrag haben wir die häufigsten Testanwendungsfälle zusammengestellt, die es ermöglichen, die SIEM- und SOAR-Funktionen von Microsoft Sentinel als Cloud-native Lösung zu demonstrieren und zu implementieren.
1. Mehrere Passwortrücksetzungen durch einen Benutzer
Dieses Testszenario schlägt Schritte vor, die erforderlich sind, um Passwortrücksetzungen oder MFA-Anfragen zu automatisieren, wenn der Verdacht besteht, dass ein Benutzerkonto gefährdet ist.
Wie ein Testfall implementiert wird
- Sammeln einer erweiterten Anzahl von Active Directory-Protokollen (Anmeldeaktivitäten)
- Konfigurieren einer Analyseregel Verteilte Passwortknackversuche in Azure AD
- Konfigurieren einer Analyseregel Mehrfaches Zurücksetzen des Passworts durch den Benutzer
- Einstellen von Benachrichtigungen bei Sicherheitsvorfällen, wenn das Benutzerkonto gefährdet ist
- Konfigurieren einer Richtlinie Bedingter Zugriff (Benutzerrisiko, Anmeldungsrisiko)
- Einrichten automatischer Aktionen für ein möglicherweise kompromittiertes Benutzerkonto mit Logic Apps
- Abmeldung aller Benutzersitzungen erzwingen und MFA für eine weitere Anmeldung aktivieren Conditional Access (Benutzerrisiko, Anmeldungsrisiko)
2. Erkennung von Ereignissen auf der Grundlage von Kompromittierungsindikatoren
Das Testen der Einbindung von IoCs in ein Microsoft SIEM/SOAR-System wird ihr Potenzial bei der Beseitigung von Bedrohungen aufzeigen.
Wie ein Testfall implementiert wird
- Öffentliche IoCs verbinden (ein Bedrohungsdaten-Feed)
- Eigene IoCs hinzufügen
- Erstellen einer KQL-Anfrage, um die Aufnahme von IoCs in die von Cisco ASA empfangenen Protokolle zu erkennen
- Einrichtung von Benachrichtigungen über mögliche Vorfälle im Zusammenhang mit dem Zugriff auf eine bösartige IP-Adresse
- Wählen öffentlicher IoCs und Bestellen von Abonnements für diese
- Entwicklung einer Klassifizierung der eigenen IoCs
- Konfigurieren eigener IoCs
- Aktivieren von SOAR-Funktionen, um auf jede Aktivität von einer schädlichen IP-Adresse zu reagieren
3. Erkennung von untypischen Aktivitäten privilegierter Konten
Die rechtzeitige Erkennung potenzieller Bedrohungen oder abnormaler Verhaltensmuster privilegierter Benutzer kann dazu beitragen, den Verlust sensibler Daten und Systemverletzungen zu verhindern und die Cloud-Sicherheit zu verbessern.
Wie ein Testfall implementiert wird
- Sammeln einer erweiterten Anzahl von Azure-Aktivitätsprotokollen
- Konfigurieren einer Analyseregel Verwaltungsvorgänge
- Benachrichtigungen über die Verwaltungsvorgänge auf portal.azure.com als Information einstellen, wobei einmal pro Tag eine Liste solcher Vorgänge erstellt wird
- Konfigurieren eines rollenbasierten Zugriffsmodells auf Azure RBAC-Ressourcen
- Einführung eines Verfahrens zur Überprüfung der Zugangsrechte Zugangsüberprüfung
- Verwendung administrativer Konten mit eingeschränkten Zugriffsrechten
- Einführung von Just-in-time-Zugang (JIA) und Just-enough-Zugang (JEA)
- Erwägung der Verwendung von Azure AD Entitlement Manager
- Erstellen Sie die Logic App-Benachrichtigung, um einen globalen Administrator über gefährdete administrative Konten zu informieren
4. Identifizieren potenziell bösartiger Szenarien bei der Verwendung von Microsoft Teams
In diesem Anwendungsfall wird getestet, wie Microsoft Sentinel die Sicherheit der digitalen Zusammenarbeit in Microsoft Teams verwaltet.
Wie ein Testfall implementiert wird
- Sammeln einer erweiterten Anzahl von Office 365-Protokollen
- Analysieren von empfangenen Protokollen für Microsoft Teams
- Einrichten von Logic Apps zum Sammeln von Protokollen über die Office 365 Management Activity API
- Ermöglichen der grafischen Visualisierung des Teilens von Teams mit externen Benutzern
- Konfiguration von Analyseregeln
- Ermöglichung der Zusammenarbeit von Microsoft Teams-Benutzern mit externen Benutzern
- Einrichten des Prozesses zum Senden von Benachrichtigungen über Sicherheitsvorfälle an das bestehende ITSM-System, Exchange oder einen Teams-Kanal
5. Ermittlung gefährlicher Aktivitäten mit Dateien auf SharePoint / OneDrive, die von neuen IP-Adressen stammen
Dieses Testszenario ermöglicht die Bewertung der SIEM/SOAR-Funktion von Microsoft Sentinel zur Überprüfung und Gewährleistung der Sicherheit von SharePoint/OneDrive-Daten, die von neuen IP-Adressen empfangen werden.
Wie ein Testfall implementiert wird
- Sammeln einer erweiterten Anzahl von Office 365-Protokollen
- Analyse der empfangenen Protokolle für SharePoint / OneDrive
- Konfigurieren von Logic Apps zum Sammeln von Protokollen über die Office 365 Management Activity API
- Konfigurieren der Analyseregel SharePointFileOperation über bisher ungesehene IPs
- Einrichten eines Prozesses zum Senden von Benachrichtigungen über Sicherheitsvorfälle an das bestehende ITSM-System, Exchange oder einen Teams-Kanal
Fazit
Zusammenfassend lässt sich sagen, dass SIEM und SOAR zwar recht unterschiedliche Zwecke verfolgen, sich aber innerhalb einer einzigen Lösung wie Microsoft Sentinel perfekt ergänzen. Vor der Implementierung können Sie die Gültigkeit von Sentinel überprüfen, indem Sie die oben genannten Testfälle anwenden. Als erfahrener Microsoft-Dienstleister kann Infopulse Sie bei der Durchführung solcher Testfälle und der weiteren Implementierung der Lösung unterstützen.
Lesen Sie mehr zum Thema
