Erkunden der Bedrohungssuche mit Microsoft Threat Protection

Obwohl gut strukturierte und streng organisierte Security Operations-Teams häufig über die anspruchsvollsten Erkennungsmechanismen verfügen, benötigen diese Teams dennoch Experten, die geführte Untersuchungen durchführen können, um bestimmte Bedrohungen zu finden und zu stoppen. Anspruchsvolle Angreifer nutzen beispielsweise häufig die normale Systemfunktionalität, die fast keine identifizierbaren Ablaufverfolgungen hinterlässt. Ja, verhaltensbasierte Erkennungsalgorithmen, die von Machine Learning und KI unterstützt werden, können schnell lernen und darauf reagieren. Menschliche Experten spielen jedoch immer noch die wertvollste Rolle bei der Bedrohungssuche. Ihre Rolle ist besonders wichtig, wenn sie das Netzwerk kennen und damit vertraut sind, wie Angriffe auftreten können.

Was ist Bedrohungssuche?

Die Cyberbedrohungssuche oder einfach die Bedrohungssuche ist eine proaktive Cybersicherheitsaktivität. Ziel ist es, Bedrohungen zu finden, die:

• Versteckt unter riesigen Mengen von Sicherheitssignalen und Warndaten.
• Nicht von Sicherheitsprodukten gekennzeichnet.

Bei der Bedrohungssuche wenden Security Operations-Mitarbeiter Threat Intelligence-Erkenntnisse an, unabhängig davon, ob es sich um ihre eigene interne oder externe Forschung handelt. Mit diesen Informationen entwickeln sie dann aufschlussreiche Methoden, um das Vorhandensein einer ansonsten nicht erkannten Bedrohung zu bestimmen. Dazu benötigen sie effizienten Zugriff auf umfassende Daten zu Ereignissen und Entitäten in ihrem Netzwerk. Außerdem benötigen sie ein gutes, quantifizierbares Verständnis normaler Zustände oder Baselines.

Mit der Bedrohungssuche können Analysten mit festgelegten Baselines arbeiten und das Verhalten hervorheben, das interessant sein könnte. Mit den richtigen Tools können Analysten ihre Aktivitäten zur Bedrohungssuche an ihre Umgebungen und die erwarteten Bedrohungen anpassen. Für instance können sie nach ungewöhnlichem Verhalten suchen , z. B. nach unerwarteten Netzwerkverbindungen, das darauf hindeuten kann, dass jemand ein Konto oder eine interne App kompromittiert hat.

Der Prozess des Einrichtens der Baselines selbst kann auch Teil der Bedrohungssuche sein. Um Baselines einzurichten, benötigen Analysten Tools, die schnell rückwärts und vorwärts blicken können. Diese Tools müssen Daten bereitstellen, die ausreichend präzise sind, um normale Zustände zu definieren.

Die effektive Bedrohungssuche basiert auf:

• Umfassende, gut strukturierte und abrufbare Ereignis- und Systemdaten.
• Threat Intelligence: Wissen über Bedrohungsakteure oder Akteurinfrastruktur, Methoden und Indikatoren.
• Präzise Baselineinformationen, die normale Aktivitäten und Zustände darstellen.

Um Ihnen das Verständnis der Konzepte der Bedrohungssuche zu erleichtern, sehen wir uns ein Beispiel dafür an, was Jessica, Die Security Operations-Administratorin von Contoso, durchgemacht hat:

1. In diesem Artikel erfahren Sie mehr über ein neues Sicherheitsrisiko, das sich auf eine der Produktsuites in der Contoso-Umgebung auswirkt. In diesem Fall richten sich die Angriffe gegen ein bekanntes Web Content Management System (CMS).
2. Nach weiteren Recherchen kann Jessica nicht feststellen, wie Angreifer diese Sicherheitsanfälligkeit nutzen möchten. Da die Veröffentlichung dieser Sicherheitsanfälligkeit so neu ist, gibt es keine historischen Daten, die Jessica analysieren kann, um zu bestimmen, wie Angreifer diese Bedrohung in der Umgebung von Contoso verwendet haben. Die Situation von Contoso ist noch mühsamer, da ein Patch zur Behebung des Problems noch nicht verfügbar ist.
3. Jessica erstellt eine Abfrage für Verhaltensweisen, die an die Prozesse gebunden sind, die an diesem Sicherheitsrisiko beteiligt sind. Diese Abfrage bestimmt eine vorhandene Baseline und ein normales Verhalten. Jessica ändert dann vorhandene Abfragen so, dass nur Verhaltensweisen zurückgegeben werden, die sie nicht erwarten.
4. Außerdem werden Regeln erstellt, damit die Abfragen regelmäßig ausgeführt werden und bei Übereinstimmungen Benachrichtigungen an das Security Operations-Team gesendet werden.
5. Da Jessica umfangreiche Nachforschungen anstellte und hervorragende Abfragen erstellte – wobei sie die Möglichkeit berücksichtigte, dass einige nicht betroffene Computer bedrohungsähnliches Verhalten zeigen könnten – ist jede Übereinstimmung mit einer der Abfragen ein wertvoller Fund bei der Bedrohungssuche. Zu diesen Übereinstimmungen gehören ungewöhnliche Prozessaktivitäten, bei denen es sich möglicherweise tatsächlich um Versuche handelt, das anfällige CMS von Contoso zu missbrauchen.

In der Vergangenheit erforderte die Bedrohungssuche, dass Organisationen mühsame, zeitaufwändige Prozesse abschließen mussten, die langsam, komplex und frustrierend waren. Microsoft hat dieses Problem mit Microsoft Threat Protection behoben, das schnell, einfach und einfach ist.

Bedrohungssuche in Microsoft Threat Protection

Mit cloudbasierten Speicher- und Computelösungen können Organisationen jetzt ganz einfach riesige Datenmengen sammeln. Wenn jedoch größere Datasets gespeichert werden, ist es immer mehr erforderlich, sie effizient zu bearbeiten und zu verstehen. Genau an diesem Punkt zeigt Microsoft Threat Protection seine Stärken.

Die Funktionen zur Bedrohungssuche in Microsoft Threat Protection ermöglichen Es Organisationen, Bedrohungen für ihre Benutzer, Endpunkte, E-Mails, Produktivitätstools und Apps zu finden. Nachdem Microsoft Threat Protection diese Bedrohungen gefunden hat, werden sie automatisch gekennzeichnet und behoben.

Die Leistungsfähigkeit der Azure-Cloud zusammen mit Erkenntnissen aus dem Microsoft Intelligent Security Graph macht Microsoft Threat Protection möglich. Die folgenden Schritte enthalten eine Zusammenfassung des Microsoft Threat Protection-Prozesses:

1. Auf der grundlegendsten Ebene sammelt der Intelligent Security Graph alle sicherheitsrelevanten Daten aus jeder Microsoft-Anwendung.
2. Anschließend werden diese riesigen Mengen an Threat Intelligence- und Sicherheitsdaten aus dem gesamten Microsoft-Portfolio mit Indikatoren, Regeln von menschlichen Experten und Machine Learning (ML)-Algorithmen in Microsoft KI abgeglichen.
3. Intelligent Security Graph generiert dann aussagekräftige Warnungen, die Bedrohungskomponenten und -aktivitäten identifizieren, die mithilfe AIR-Funktionen (Automated Investigation and Response) behoben werden können.

Beispielsweise unterscheidet Microsoft Threat Protection zwischen böswilligen und normalen Versuchen, in die Systemregistrierung zu schreiben. Dazu werden Millionen von Beispielen für Registrierungsschreibvorgänge und deren Kontexte betrachtet. Zu diesen Kontexten gehören die beteiligten Dateien oder Prozesse, Dateistammbäume, Änderungen an der Registrierung, Datums- und Uhrzeitangaben von Änderungen usw. Mit diesen grundlegenden Informationen kann Microsoft KI zuverlässig Warnungen auslösen und mit der Durchführung von Korrekturmaßnahmen beginnen, sodass schädliche Registrierungsänderungen und zugehörige Dateien schnell unter Quarantäne gestellt werden.

Microsoft KI und andere automatisierte Systeme sind effektiv bei der Suche nach Bedrohungen. Menschliches Fachwissen und Flexibilität können sie jedoch immer noch schlagen, wenn es um hochspezialisierte oder ungewöhnliche Szenarien geht. Die Bedrohungssuche-Funktionen von Microsoft Threat Protection bieten die Tools, die von menschlichen Analysten benötigt werden, um ihnen Folgendes zu ermöglichen:

• Effektiv auf große Datasets zugreifen, und diese verarbeiten. Die Benutzeroberfläche von Microsoft Threat Protection ist einfach zu bedienen, reaktionsfähig und beschriftet und organisiert Daten gut. Gleichzeitig ist die Protokollspeicherung genauso einfach wie jede konkurrierende cloudbasierte Speicher- und Computelösung. Organisationen können Microsoft Threat Protection ohne professionelle Systemintegratoren oder andere Spezialisten bereitstellen und skalieren.
• Automatisieren Sie die Überwachung von interessanten Übereinstimmungen mit neuen Daten. Microsoft Threat Protection überwacht neue Aktivitäten auf Übereinstimmungen mit den Angriffsaktivitäten, die analysten modelliert haben. Ohne diese Automatisierung müssen Analysten manuell nach Übereinstimmungen suchen, wenn neue Daten eingeht.

Wissenscheck

Wählen Sie für jede der folgenden Fragen die beste Antwort aus.