Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die verschiedenen Komponenten einer Microsoft Sentinel-Lösung und deren Zusammenarbeit erläutert, um wichtige Kundenszenarien zu bewältigen.
Die Sentinel-Plattform umfasst einen Data Lake, einen Graph, Jupyter Notebook-Aufträge, einen MCP-Server (Model Context Protocol) und Daten von mehr als 300 Sentinel Connectors, um Kunden bei der kosteneffizienten Zentralisierung und Analyse ihrer Sicherheitsdaten zu unterstützen. Diese Funktionen und Microsoft Security Copilot ermöglichen es Kunden und Partnern, wirkungsvolle Lösungen zu erstellen, die über den Microsoft Security Store veröffentlicht werden können.
Sentinel SIEM wird von SOC-Teams (Security Operations) verwendet, um Erkennungen zu generieren, schädliches Verhalten zu untersuchen und Bedrohungen zu beseitigen. Durch das Erstellen Sentinel Connectors zum Einbinden neuer Daten und durch das Erstellen von Inhalten wie Analyseregeln, Playbooks, Huntingabfragen, Parsern und Arbeitsmappen können Partner SOC-Teams dabei helfen, Informationen zu erhalten, die sie benötigen, um Bedrohungen zu identifizieren und angemessen zu reagieren. Sentinel SIEM-Lösungen werden über den Content Hub von Sentinel veröffentlicht.
Datensammlung
Unabhängig davon, ob Sie eine Lösung erstellen, die Plattformkomponenten verwendet oder auf eine Sentinel SIEM-Integration ausgerichtet ist, ist es wichtig, die richtigen Daten für Ihr Szenario zu haben.
Sentinel Connectors bringen Daten in Sentinel, die dann im Lake mithilfe von Jupyter Notebooks und Aufträgen analysiert oder mit Sentinel SIEM-Inhalten wie Analyseregeln und Huntingabfragen behandelt werden können.
Diese Daten können die folgenden Typen enthalten:
| Typ | Beschreibung |
|---|---|
| Nicht verarbeitete Daten | Unterstützt Erkennungs- und Huntingprozesse. Analysieren Sie Betriebsrohdaten, in denen Anzeichen für böswillige Aktivitäten vorhanden sein können. Bringen Sie nicht verarbeitete Daten in Microsoft Sentinel, um die integrierten Such- und Erkennungsfeatures von Microsoft Sentinel zu verwenden, um neue Bedrohungen und vieles mehr zu identifizieren. Beispiele: Syslog-Daten, CEF-Daten über Syslog, Anwendungs-, Firewall-, Authentifizierungs- oder Zugriffsprotokolle und vieles mehr. |
| Sicherheitsschlussfolgerungen | Erstellt Warnungssichtbarkeit und Möglichkeit für Korrelationen. Warnungen und Erkennungen sind Schlussfolgerungen, die bereits zu Bedrohungen getroffen wurden. Wenn Erkennungen mit allen Aktivitäten und anderen Erkennungen in Microsoft Sentinel Untersuchungen in Kontext gestellt werden, sparen Analysten Zeit und schaffen ein umfassenderes Bild eines Incidents, was zu einer besseren Priorisierung und besseren Entscheidungen führt. Beispiele: Antischadsoftwarewarnungen, verdächtige Prozesse, Kommunikation mit bekannten fehlerhaften Hosts, blockierter Netzwerkdatenverkehr und warum, verdächtige Anmeldungen, erkannte Kennwortsprayangriffe, identifizierte Phishingangriffe, Datenexfiltrationsereignisse und vieles mehr. |
| Referenzdaten | Erstellt Kontext mit referenzierten Umgebungen, wodurch Der Untersuchungsaufwand gespart und die Effizienz erhöht wird. Beispiele: CMDBs, hochwertige Ressourcendatenbanken, Anwendungsabhängigkeitsdatenbanken, IP-Zuweisungsprotokolle, Threat Intelligence-Sammlungen zur Anreicherung und vieles mehr. |
| Threat Intelligence | Unterstützt die Bedrohungserkennung, indem Indikatoren für bekannte Bedrohungen bereitgestellt werden. Threat Intelligence kann aktuelle Indikatoren umfassen, die unmittelbare Bedrohungen oder historische Indikatoren darstellen, die zur zukünftigen Prävention aufbewahrt werden. Historische Datasets sind häufig groß und werden am besten ad-hoc referenziert, anstatt sie direkt in Microsoft Sentinel zu importieren. |
Parser
Parser sind KQL-Funktionen, die benutzerdefinierte Daten aus Drittanbieterprodukten in ein normalisiertes ASIM-Schema transformieren. Die Normalisierung stellt sicher, dass SOC-Analysten keine Details zu neuen Schemas erfahren müssen, sondern stattdessen Analyseregeln und Huntingabfragen für das normalisierte Schema erstellen müssen, mit dem sie bereits vertraut sind. Überprüfen Sie die verfügbaren ASIM-Schemas, die von Microsoft Sentinel bereitgestellt werden, um relevante ASIM-Schemas (eines oder mehrere) für Ihre Daten zu identifizieren, um das Onboarding für SOC-Analysten zu vereinfachen und sicherzustellen, dass die vorhandenen Sicherheitsinhalte, die für das ASIM-Schema geschrieben wurden, sofort auf Ihre Produktdaten anwendbar sind. Weitere Informationen zu den verfügbaren ASIM-Schemas finden Sie unter Advanced Security Information Model (ASIM)-Schemas.
Visualisierung
Sie können Visualisierungen einschließen, die Kunden beim Verwalten und Verstehen Ihrer Daten unterstützen, indem Sie grafische Ansichten dazu hinzufügen, wie gut Daten in Microsoft Sentinel fließen und wie effektiv sie zu Erkennungen beitragen.
Sie können Visualisierungen einschließen, die Kunden beim Verwalten und Verstehen Ihrer Daten unterstützen, indem Sie grafische Ansichten dazu hinzufügen, wie gut Daten in Microsoft Sentinel fließen und wie effektiv sie zu Erkennungen beitragen.
Überwachung und Erkennung
die Überwachungs- und Erkennungsfeatures von Sentinel erstellen automatisierte Erkennungen, die Kunden dabei unterstützen, die Expertise ihres SOC-Teams zu skalieren.
In den folgenden Abschnitten werden Überwachungs- und Erkennungselemente beschrieben, die Sie in Ihre Lösung einschließen können.
Security Copilot Agents
Security Copilot Agents automatisieren sich wiederholende Aufgaben und reduzieren manuelle Workloads. Sie verbessern die Sicherheit und den IT-Betrieb in cloud-, datensicherheits- und datenschutz-, identitäts- und netzwerkübergreifender Sicherheit. Für Sentinel können Agents den SIEM- oder Data Lake abfragen und APIs aufrufen, um Microsoft Sentinel Daten anzureichern. Sie können Notebook-Aufträge für eine intensive Datenverarbeitung oder -analyse und eine beliebige Anzahl von Plug-Ins nutzen.
Jupyter Notebook-Aufträge
Jupyter Notebook-Aufträge bieten leistungsstarke Tools zum Ausführen komplexer Datentransformationen und zum Ausführen von Machine Learning-Modellen mithilfe von Spark-Aufträgen in Sentinel Data Lake. Sie können von Security Copilot Agents verwendet werden, um eine deterministische und effiziente Möglichkeit zur Durchführung von Datenanalysen und -zusammenfassungen bereitzustellen und fortlaufend auszuführen. Notebookaufträge können benutzerdefinierte Datentabellen in die Analyseebene und den Data Lake schreiben, die von downstream-Komponenten wie Agents, Arbeitsmappen, Huntingabfragen und anderen verwendet werden.
Analyseregeln
Analyseregeln sind komplexe Erkennungen, die genaue, aussagekräftige Warnungen erstellen können.
Fügen Sie Ihrer Lösung Analyseregeln hinzu, damit Ihre Kunden in Microsoft Sentinel von Daten aus Ihrem System profitieren können. Beispielsweise können Analyseregeln dabei helfen, Fachwissen und Einblicke in die Aktivitäten bereitzustellen, die in den Daten, die Ihre Integration liefert, erkannt werden können.
Sie können Warnungen (relevante Ereignisse), Vorfälle (Untersuchungseinheiten) ausgeben oder Automatisierungsplaybooks auslösen.
Sie können Analyseregeln hinzufügen, indem Sie sie in eine Lösung und über die Microsoft Sentinel ThreatHunters-Community einschließen. Tragen Sie über die Community dazu bei, die Kreativität der Community gegenüber Daten aus Partnerquellen zu fördern und Kunden mit zuverlässigeren und effektiveren Erkennungen zu helfen.
Hunting-Abfragen
Hunting-Abfragen ermöglichen ES SOC-Analysten, proaktiv nach neuen Anomalien zu suchen, die von den derzeit geplanten Analyseregeln nicht erkannt werden. Hunting-Abfragen führen SOC-Analysten an, die richtigen Fragen zu stellen, um Probleme aus den Daten zu finden, die bereits in Microsoft Sentinel verfügbar sind, und helfen ihnen, potenzielle Bedrohungsszenarien zu identifizieren. Indem Sie Hunting-Abfragen einschließen, können Sie Kunden dabei helfen, unbekannte Bedrohungen in den von Ihnen bereitgestellten Daten zu finden.
Arbeitsmappen
Arbeitsmappen bieten interaktive Berichte und Dashboards, mit denen Benutzer Sicherheitsdaten visualisieren und Muster innerhalb von Daten identifizieren können. Die Notwendigkeit von Arbeitsmappen hängt vom jeweiligen Anwendungsfall ab. Denken Sie beim Entwerfen Ihrer Lösung an Szenarien, die am besten visuell erklärt werden können, insbesondere für Szenarien zum Nachverfolgen der Leistung.
Untersuchung
Das Sentinel Untersuchungsgraphen stellt Ermittlern relevante Daten zur Verfügung, wenn sie diese benötigen, und bietet Einblicke in Sicherheitsvorfälle und Warnungen über verbundene Entitäten. Ermittler können das Untersuchungsdiagramm verwenden, um relevante oder verwandte Ereignisse zu finden, die zu der zu untersuchenden Bedrohung beitragen.
Partner können zum Untersuchungsdiagramm beitragen, indem sie Folgendes bereitstellen:
- Microsoft Sentinel Warnungen und Incidents, die über Analyseregeln in Partnerlösungen erstellt werden.
- Benutzerdefinierte Untersuchungsabfragen für vom Partner bereitgestellte Daten. Benutzerdefinierte Untersuchungsabfragen bieten umfassende Untersuchungen und Konnektivität zwischen Daten und Erkenntnissen für Sicherheitsermittler.
Antwort
Playbooks unterstützen Workflows mit umfassender Automatisierung und führen sicherheitsbezogene Aufgaben in Kundenumgebungen aus. Sie sind wichtig, um sicherzustellen, dass die SOC-Analysten nicht durch taktische Elemente überlastet sind und sich auf die strategischere und tiefere Grundursache der Sicherheitsrisiken konzentrieren können. Wenn beispielsweise eine Warnung mit hohem Schweregrad erkannt wird, kann ein Playbook automatisch eine Reihe von Aktionen initiieren, z. B. das Benachrichtigen des Sicherheitsteams, das Isolieren betroffener Systeme und das Sammeln relevanter Protokolle zur weiteren Analyse.
Playbooks können beispielsweise auf eine der folgenden Arten und mehr helfen:
- Unterstützung von Kunden beim Konfigurieren von Sicherheitsrichtlinien in Partnerprodukten
- Sammeln zusätzlicher Daten als Grundlage für Ermittlungsentscheidungen
- Verknüpfen von Microsoft Sentinel Incidents mit externen Managementsystemen
- Integrieren der Warnungslebenszyklusverwaltung über Partnerlösungen hinweg
Denken Sie beim Entwerfen Ihrer Lösung an die automatisierten Aktionen, die ausgeführt werden können, um Incidents zu beheben, die von den in Ihrer Lösung definierten Analyseregeln erstellt wurden.
Beispiele für Sentinel SIEM-Szenarios
In den folgenden Abschnitten werden gängige Partnerszenarien und Empfehlungen für die Einzelnen Szenarios in eine Lösung beschrieben.
Ihr Produkt generiert Daten, die für Sicherheitsuntersuchungen wichtig sind
Szenario: Ihr Produkt generiert Daten, die sicherheitsrelevante Untersuchungen unterstützen können.
Beispiel: Produkte, die eine Form von Protokolldaten bereitstellen, umfassen Firewalls, Sicherheitsbroker für Cloudanwendungen, physische Zugriffssysteme, Syslog-Ausgabe, kommerziell verfügbare und unternehmensspezifische BRANCHENanwendungen, Server, Netzwerkmetadaten, alles, was über Syslog im Syslog- oder CEF-Format oder über REST-API im JSON-Format bereitgestellt werden kann.
Verwenden Ihrer Daten in Microsoft Sentinel: Importieren Sie die Daten Ihres Produkts über einen Datenconnector in Microsoft Sentinel, um Analysen, Suchvorgänge, Untersuchungen, Visualisierungen und vieles mehr bereitzustellen.
Zu erstellende Elemente: Fügen Sie für dieses Szenario die folgenden Elemente in Ihre Lösung ein:
| Typ | Einzuschließende Elemente |
|---|---|
| Erforderlich | – Ein Microsoft Sentinel Datenconnector, um die Daten bereitzustellen und andere Anpassungen im Portal zu verknüpfen. Beispieldatenabfragen |
| Empfohlen | -Arbeitsmappen – Analyseregeln, um Erkennungen basierend auf Ihren Daten in Microsoft Sentinel |
| Optional | - Hunting-Abfragen, um Jägern sofort einsatzbereite Abfragen zur Verfügung zu stellen, die bei der Suche verwendet werden können - Notebooks, um eine vollständig geführte, wiederholbare Jagderfahrung zu bieten |
Ihr Produkt bietet Erkennungen
Szenario: Ihr Produkt bietet Erkennungen, die Warnungen und Vorfälle von anderen Systemen ergänzen
Beispiele: Antischadsoftware, Lösungen zur Erkennung und Reaktion von Unternehmen, Lösungen zur Netzwerkerkennung und -reaktion, E-Mail-Sicherheitslösungen wie Antiphishingprodukte, Überprüfung auf Sicherheitsrisiken, Verwaltungslösungen für mobile Geräte, UEBA-Lösungen, Informationsschutzdienste usw.
Verwenden Ihrer Daten in Microsoft Sentinel: Stellen Sie Ihre Erkennungen, Warnungen oder Vorfälle in Microsoft Sentinel zur Verfügung, um sie im Kontext mit anderen Warnungen und Vorfällen anzuzeigen, die möglicherweise in den Umgebungen Ihrer Kunden auftreten. Erwägen Sie auch die Bereitstellung der Protokolle und Metadaten, die Ihre Erkennungen unterstützen, als zusätzlichen Kontext für Untersuchungen.
Zu erstellende Elemente: Fügen Sie für dieses Szenario die folgenden Elemente in Ihre Lösung ein:
| Typ | Einzuschließende Elemente |
|---|---|
| Erforderlich | Ein Microsoft Sentinel Datenconnector, um die Daten bereitzustellen und andere Anpassungen im Portal zu verknüpfen. |
| Empfohlen | Analyseregeln, um Microsoft Sentinel Incidents aus Ihren Erkennungen zu erstellen, die bei Untersuchungen hilfreich sind |
Ihr Produkt liefert Threat Intelligence-Indikatoren
Szenario: Ihr Produkt stellt Threat Intelligence-Indikatoren bereit, die Kontext für Sicherheitsereignisse bereitstellen können, die in den Umgebungen von Kunden auftreten.
Beispiele: TIP-Plattformen, STIX/TAXII-Sammlungen und öffentliche oder lizenzierte Threat Intelligence-Quellen. Referenzdaten, z. B. WhoIS, GeoIP oder neu beobachtete Domänen.
So verwenden Sie Ihre Daten in Microsoft Sentinel: Stellen Sie aktuelle Indikatoren für Microsoft Sentinel bereit, damit sie auf allen Microsoft-Erkennungsplattformen verwendet werden können. Verwenden Sie umfangreiche oder historische Datasets für Anreicherungsszenarien über Remotezugriff.
Zu erstellende Elemente: Fügen Sie für dieses Szenario die folgenden Elemente in Ihre Lösung ein:
| Typ | Einzuschließende Elemente |
|---|---|
| Aktuelle Threat Intelligence | Erstellen Sie einen GSAPI-Datenconnector, um Indikatoren per Push an Microsoft Sentinel zu übertragen. Stellen Sie einen STIX 2.0- oder 2.1-TAXII-Server bereit, den Kunden mit dem sofort einsatzbereiten TAXII-Datenconnector verwenden können. |
| Verlaufsindikatoren und/oder Referenzdatasets | Stellen Sie einen Logik-App-Connector für den Zugriff auf die Daten und ein Anreicherungsworkflow-Playbook bereit, das die Daten an die richtigen Stellen weitergibt. |
Ihr Produkt bietet zusätzlichen Kontext für Untersuchungen
Szenario: Ihr Produkt stellt zusätzliche Kontextdaten für Untersuchungen bereit, die auf Microsoft Sentinel basieren.
Beispiele: ZUSÄTZLICHE KONTEXT-CMDBs, hochwertige Ressourcendatenbanken, VIP-Datenbanken, Anwendungsabhängigkeitsdatenbanken, Incident-Management-Systeme, Ticketsysteme
Verwenden Ihrer Daten in Microsoft Sentinel: Verwenden Sie Ihre Daten in Microsoft Sentinel, um Sowohl Warnungen als auch Incidents anzureichern.
Zu erstellende Elemente: Fügen Sie für dieses Szenario die folgenden Elemente in Ihre Lösung ein:
- Ein Logik-App-Connector
- Ein Anreicherungsworkflow-Playbook
- Ein workflow für die Verwaltung des lebenszyklus von externen Vorfällen (optional)
Ihr Produkt kann Sicherheitsrichtlinien implementieren
Szenario: Ihr Produkt kann Sicherheitsrichtlinien in Azure Policy und anderen Systemen implementieren.
Beispiele: Firewalls, NDR, EDR, MDM, Identitätslösungen, Lösungen für bedingten Zugriff, Lösungen für physischen Zugriff oder andere Produkte, die Blockieren/Zulassen oder andere umsetzbare Sicherheitsrichtlinien unterstützen
Verwenden Ihrer Daten in Microsoft Sentinel: Microsoft Sentinel Aktionen und Workflows, die Korrekturen und Reaktionen auf Bedrohungen ermöglichen
Zu erstellende Elemente: Fügen Sie für dieses Szenario die folgenden Elemente in Ihre Lösung ein:
- Ein Logik-App-Connector
- Ein Action-Workflow-Playbook
Referenzen für die ersten Schritte
Alle Microsoft Sentinel SIEM-Integrationen beginnen mit dem Microsoft Sentinel GitHub-Repository und dem Beitragsleitfaden.
Wenn Sie bereit sind, mit der Arbeit an Ihrer Microsoft Sentinel Lösung zu beginnen, finden Sie Anweisungen zum Übermitteln, Packen und Veröffentlichen im Leitfaden zum Erstellen Microsoft Sentinel Lösungen.
Markteinführung
Microsoft bietet die Programme an, die Partnern dabei helfen, Microsoft-Kunden anzusprechen:
Microsoft Partner Network (MPN). Das primäre Programm für die Partnerschaft mit Microsoft ist das Microsoft Partner Network. Die Mitgliedschaft in MPN ist erforderlich, um ein Azure Marketplace-Herausgeber zu werden, auf dem alle Microsoft Sentinel Lösungen veröffentlicht werden.
Azure Marketplace. Microsoft Sentinel Lösungen werden über den Azure Marketplace bereitgestellt, wo Kunden sowohl von Microsoft als auch von Partnern bereitgestellte allgemeine Azure Integrationen entdecken und bereitstellen können.
Microsoft Sentinel Lösungen sind eine von vielen Arten von Angeboten, die im Marketplace zu finden sind. Sie finden auch die Lösungsangebote, die im Microsoft Sentinel Content Hub eingebettet sind.
Microsoft Intelligent Security Association (MISA). MISA bietet Microsoft-Sicherheitspartnern Hilfe bei der Bewusstseinsbildung für vom Partner erstellte Integrationen mit Microsoft-Kunden und hilft dabei, die Auffindbarkeit für Microsoft Security-Produktintegrationen zu ermöglichen.
Die Teilnahme am MISA-Programm erfordert eine Nominierung durch ein teilnehmende Microsoft-Sicherheitsproduktteam. Das Erstellen einer der folgenden Integrationen kann Partner für die Nominierung qualifizieren:
- Ein Microsoft Sentinel Datenconnector und zugeordneter Inhalte, z. B. Arbeitsmappen, Beispielabfragen und Analyseregeln
- Veröffentlichte Logic Apps-Connector- und Microsoft Sentinel-Playbooks
- API-Integrationen von Fall zu Fall
Wenden Sie sich an , um eine MISA-Nominierungsüberprüfung anzufordern oder Fragen zu erhalten AzureSentinelPartner@microsoft.com.
Nächste Schritte
Weitere Informationen finden Sie unter:
Datensammlung:
- Bewährte Methoden für die Datensammlung
- Microsoft Sentinel Datenconnectors
- Suchen des Microsoft Sentinel-Datenconnectors
- Grundlegendes zu Threat Intelligence in Microsoft Sentinel
Bedrohungserkennung:
- Automatisieren der Incidentbehandlung in Microsoft Sentinel mit Automatisierungsregeln
- Untersuchen von Vorfällen mit Microsoft Sentinel
- Automatisieren der Reaktion auf Bedrohungen mit Playbooks in Microsoft Sentinel
Hunting und Notebooks:
- Suchen nach Bedrohungen mit Microsoft Sentinel
- Verwalten von Hunting-Abfragen in Microsoft Sentinel mithilfe der REST-API
- Verwenden von Jupyter Notebooks zum Suchen nach Sicherheitsbedrohungen
Visualisierung: Visualisieren Sie gesammelte Daten.
Untersuchung: Untersuchen Sie Vorfälle mit Microsoft Sentinel.
Antwort: