Startseite
>
Security
>
5 Testfälle für SIEM-/SOAR-Implementierung mit Microsoft Sentinel
Advertorial
5 Testfälle für SIEM-/SOAR-Implementierung mit Microsoft Sentinel
16. September 2022, 16:00 Uhr |
Infopulse
Bewältigen Sie Vorfälle/Bedrohungen schneller mit nur einer SIEM- und SOAR-Lösung von Microsoft Sentinel. Sie können die Effektivität der Lösung anhand von 5 hier beschriebenen Testfällen überprüfen.
SIEM und SOAR sollten synergetisch zusammenarbeiten, um ein effektives Problemlösungsmanagement zu ermöglichen. Während SIEM Bedrohungsdaten sammelt und analysiert, arbeitet SOAR mit den vom SIEM analysierten Informationen, priorisiert und bearbeitet Bedrohungen und entlastet ein SOC-Team von immer mehr Routineaufgaben.
Viele Sicherheitsteams tendieren zur Implementierung von SaaS-Lösungen wie Microsoft Sentinel, das bereits SIEM- und SOAR-Funktionen vereint und mit KI und zahlreichen Microsoft- und Nicht-Microsoft-Konnektoren angereichert ist:
Office 365 Protokolle ohne zusätzliche Kosten
Integrierte und Drittanbieter-Analysen
Automatisierung von Routineprozessen
Erkennung von Bedrohungen durch sofort einsatzbereite Funktionen
Basierend auf unserer Erfahrung empfehlen wir, Anwendungsfälle zu testen, um die Fähigkeiten von Microsoft Sentinel zu bewerten. In diesem Blog-Beitrag haben wir die häufigsten Testanwendungsfälle zusammengestellt, die es ermöglichen, die SIEM- und SOAR-Funktionen von Microsoft Sentinel als Cloud-native Lösung zu demonstrieren und zu implementieren.
1. Mehrere Passwortrücksetzungen durch einen Benutzer
Dieses Testszenario schlägt Schritte vor, die erforderlich sind, um Passwortrücksetzungen oder MFA-Anfragen zu automatisieren, wenn der Verdacht besteht, dass ein Benutzerkonto gefährdet ist.
Wie ein Testfall implementiert wird
Sammeln einer erweiterten Anzahl von Active Directory-Protokollen (Anmeldeaktivitäten)
Konfigurieren einer Analyseregel Verteilte Passwortknackversuche in Azure AD
Konfigurieren einer Analyseregel Mehrfaches Zurücksetzen des Passworts durch den Benutzer
Einstellen von Benachrichtigungen bei Sicherheitsvorfällen, wenn das Benutzerkonto gefährdet ist
Konfigurieren einer Richtlinie Bedingter Zugriff (Benutzerrisiko, Anmeldungsrisiko)
Einrichten automatischer Aktionen für ein möglicherweise kompromittiertes Benutzerkonto mit Logic Apps
Abmeldung aller Benutzersitzungen erzwingen und MFA für eine weitere Anmeldung aktivieren Conditional Access (Benutzerrisiko, Anmeldungsrisiko)
2. Erkennung von Ereignissen auf der Grundlage von Kompromittierungsindikatoren
Das Testen der Einbindung von IoCs in ein Microsoft SIEM/SOAR-System wird ihr Potenzial bei der Beseitigung von Bedrohungen aufzeigen.
Erstellen einer KQL-Anfrage, um die Aufnahme von IoCs in die von Cisco ASA empfangenen Protokolle zu erkennen
Einrichtung von Benachrichtigungen über mögliche Vorfälle im Zusammenhang mit dem Zugriff auf eine bösartige IP-Adresse
Wählen öffentlicher IoCs und Bestellen von Abonnements für diese
Entwicklung einer Klassifizierung der eigenen IoCs
Konfigurieren eigener IoCs
Aktivieren von SOAR-Funktionen, um auf jede Aktivität von einer schädlichen IP-Adresse zu reagieren
3. Erkennung von untypischen Aktivitäten privilegierter Konten
Die rechtzeitige Erkennung potenzieller Bedrohungen oder abnormaler Verhaltensmuster privilegierter Benutzer kann dazu beitragen, den Verlust sensibler Daten und Systemverletzungen zu verhindern und die Cloud-Sicherheit zu verbessern.
Wie ein Testfall implementiert wird
Sammeln einer erweiterten Anzahl von Azure-Aktivitätsprotokollen
Konfigurieren einer Analyseregel Verwaltungsvorgänge
Benachrichtigungen über die Verwaltungsvorgänge auf portal.azure.com als Information einstellen, wobei einmal pro Tag eine Liste solcher Vorgänge erstellt wird
Konfigurieren eines rollenbasierten Zugriffsmodells auf Azure RBAC-Ressourcen
Einführung eines Verfahrens zur Überprüfung der Zugangsrechte Zugangsüberprüfung
Verwendung administrativer Konten mit eingeschränkten Zugriffsrechten
Einführung von Just-in-time-Zugang (JIA) und Just-enough-Zugang (JEA)
Erwägung der Verwendung von Azure AD Entitlement Manager
Erstellen Sie die Logic App-Benachrichtigung, um einen globalen Administrator über gefährdete administrative Konten zu informieren
4. Identifizieren potenziell bösartiger Szenarien bei der Verwendung von Microsoft Teams
In diesem Anwendungsfall wird getestet, wie Microsoft Sentinel die Sicherheit der digitalen Zusammenarbeit in Microsoft Teams verwaltet.
Wie ein Testfall implementiert wird
Sammeln einer erweiterten Anzahl von Office 365-Protokollen
Analysieren von empfangenen Protokollen für Microsoft Teams
Einrichten von Logic Apps zum Sammeln von Protokollen über die Office 365 Management Activity API
Ermöglichen der grafischen Visualisierung des Teilens von Teams mit externen Benutzern
Konfiguration von Analyseregeln
Ermöglichung der Zusammenarbeit von Microsoft Teams-Benutzern mit externen Benutzern
Einrichten des Prozesses zum Senden von Benachrichtigungen über Sicherheitsvorfälle an das bestehende ITSM-System, Exchange oder einen Teams-Kanal
5. Ermittlung gefährlicher Aktivitäten mit Dateien auf SharePoint / OneDrive, die von neuen IP-Adressen stammen
Dieses Testszenario ermöglicht die Bewertung der SIEM/SOAR-Funktion von Microsoft Sentinel zur Überprüfung und Gewährleistung der Sicherheit von SharePoint/OneDrive-Daten, die von neuen IP-Adressen empfangen werden.
Wie ein Testfall implementiert wird
Sammeln einer erweiterten Anzahl von Office 365-Protokollen
Analyse der empfangenen Protokolle für SharePoint / OneDrive
Konfigurieren von Logic Apps zum Sammeln von Protokollen über die Office 365 Management Activity API
Konfigurieren der Analyseregel SharePointFileOperation über bisher ungesehene IPs
Einrichten eines Prozesses zum Senden von Benachrichtigungen über Sicherheitsvorfälle an das bestehende ITSM-System, Exchange oder einen Teams-Kanal
Fazit
Zusammenfassend lässt sich sagen, dass SIEM und SOAR zwar recht unterschiedliche Zwecke verfolgen, sich aber innerhalb einer einzigen Lösung wie Microsoft Sentinel perfekt ergänzen. Vor der Implementierung können Sie die Gültigkeit von Sentinel überprüfen, indem Sie die oben genannten Testfälle anwenden. Als erfahrener Microsoft-Dienstleister kann Infopulse Sie bei der Durchführung solcher Testfälle und der weiteren Implementierung der Lösung unterstützen.