Navigation überspringen

Allgemeine Verfügbarkeit von Azure Sentinel: Modernes SIEM in der Cloud

Veröffentlicht am 26 September, 2019

Director, Cloud+AI Security

Anfang dieser Woche haben wir bekannt gegeben, dass Azure Sentinel nun allgemein verfügbar ist. Dies markiert einen wichtigen Meilenstein auf unserem Weg zu einem ganz neuen Security Information & Event Management (SIEM) für das Zeitalter der Cloud. Mit Azure Sentinel können Unternehmen weltweit nun mit dem exponentiellen Wachstum bei Sicherheitsdaten Schritt halten, die eigene Sicherheit ohne zusätzliche Analysten verbessern und die Hardware- und Betriebskosten senken.

Mit der Hilfe von Kunden und Partnern – einschließlich Feedback von über 12.000 Testversionen während der Vorschauphase – haben wir Azure Sentinel entworfen, um die Leistungsfähigkeit von Azure und KI zu vereinen, damit Security Operations Center noch mehr erreichen können. In dieser Woche werden viele neue Funktionen online geschaltet. Ich werde Ihnen hier einige erläutern.

Eine nahezu unbegrenzte Anzahl von Sicherheitsdaten sammeln und analysieren

Mit Azure Sentinel können wir die Sicherheit für das gesamte Unternehmen verbessern. Viele Datenquellen von Microsoft und anderen Anbietern sind direkt integriert und können mit einem einzigen Mausklick aktiviert werden. Neue Connectors für Microsoft-Dienste wie Cloud App Security und Information Protection werden Teil einer wachsenden Liste von Drittanbieterconnectors und vereinfachen so das Erfassen und Analysieren von Daten aus dem gesamten digitalen Raum.

Arbeitsmappen bieten umfassende Visualisierungsoptionen, um Erkenntnisse aus Ihren Daten zu gewinnen. Nutzen oder ändern Sie eine vorhandene Arbeitsmappe, oder erstellen Sie Ihre eigene Arbeitsmappe.

Abbildung

Analysen, darunter auch maschinelles Lernen, zum Erkennen von Bedrohungen anwenden

Sie können jetzt zwischen mehr als 100 integrierten Warnungsregeln auswählen oder den Warnungs-Assistenten verwenden, um eigene Warnungsregeln zu erstellen. Warnungen können von einem einzelnen Ereignis, basierend auf einem Schwellenwert, durch Korrelieren verschiedener Datasets (z. B. Ereignisse, die Bedrohungsindikatoren entsprechen) oder mithilfe integrierter Algorithmen des maschinellen Lernens ausgelöst werden.

Abbildung

Wir bieten Vorschauversionen von zwei neuen Ansätzen für maschinelles Lernen, mit denen Kunden die Vorteile von künstlicher Intelligenz ohne die Komplexität nutzen können. Zunächst wenden wir bewährte Machine Learning-Modelle an, um verdächtige Anmeldungen für Microsoft-Identitätsdienste zu identifizieren und damit böswillige SSH-Zugriffe zu ermitteln. Durch das Übertragen des Erlernten aus vorhandenen Machine Learning-Modellen kann Azure Sentinel Anomalien von einem einzelnen Dataset mit hoher Genauigkeit erkennen. Außerdem nutzen wir eine Methode des maschinellen Lernens namens Fusion, um Daten aus mehreren Quellen zu verbinden, z. B. abweichende Azure AD-Anmeldungen und verdächtige Office 365-Aktivitäten, um 35 unterschiedliche Bedrohungen zu erkennen, die verschiedene Punkte der Korrekturkette abdecken.

Suche nach Bedrohungen sowie die Untersuchung von und Reaktion auf Incidents beschleunigen

Die proaktive Suche nach Bedrohungen ist eine wichtige, aber zeitaufwendige Aufgabe für Security Operations Center. Azure Sentinel vereinfacht diese Suche durch eine umfangreiche Benutzeroberfläche, die eine wachsende Sammlung von Erkennungsabfragen, explorativen Abfragen und Python-Bibliotheken zur Verwendung in Jupyter Notebooks bietet. Nutzen Sie diese, um relevante Ereignisse zu identifizieren und zur späteren Bezugnahme zu markieren.

Abbildung

Incidents (ehemals Fälle) enthalten mindestens eine Warnung, die genauer untersucht werden muss. Incidents unterstützen jetzt Tagging, Kommentare und Zuweisungen. Mithilfe eines neuen Regel-Assistenten können Sie entscheiden, welche Microsoft-Warnungen die Erstellung von Incidents auslösen.

Abbildung

Mithilfe der neuen Vorschau des Untersuchungsdiagramms können Sie die Verbindungen zwischen Entitäten wie Benutzern, Ressourcen, Anwendungen oder URLs und verwandten Aktivitäten wie Anmeldungen, Datenübertragungen oder der Anwendungsnutzung visualisieren und durchlaufen, um den Umfang und die Auswirkungen eines Incidents schneller zu verstehen.

Abbildung

Neue Aktionen und Playbooks vereinfachen den Prozess der Automatisierung und Wartung von Incidents mithilfe Azure Logic Apps. Senden Sie eine E-Mail, um eine Benutzeraktion zu überprüfen, ergänzen Sie einen Incident um Geolocationdaten, blockieren Sie einen verdächtigen Benutzer, und isolieren Sie einen Windows-Computer.

Abbildung

Aufbauend auf den Erkenntnissen von Microsoft und Mitgliedern der Community

Das Repository Azure Sentinel GitHub ist auf mehr als 400 Such-, explorativen und Huntingabfragen angewachsen. Darüber hinaus gibt es Azure Notebooks-Beispiele und verwandte Python-Bibliotheken, Playbookbeispiele und Parser. Der Großteil dieser Lösungen wurde von unseren MSTIC-Sicherheitsexperten basierend auf ihrer umfassenden globalen Sicherheitserfahrung und Bedrohungsdaten entwickelt.

Abbildung

Unterstützung für verwaltete Sicherheitsdienstsanbieter und komplexe Kundeninstanzen

Azure Sentinel funktioniert nun in Verbindung mit Azure Lighthouse und ermöglicht Kunden und verwalteten Sicherheitsdienstanbietern (MSSPs), Azure Sentinel für mehrere Mandanten anzuzeigen, ohne zwischen Mandanten navigieren zu müssen. Wir haben eng mit unseren Partnern zusammengearbeitet, um gemeinsam eine Lösung zu entwickeln, die ihre Anforderungen an ein modernes SIEM erfüllt. 

DXC Technology, einer der größten globalen MSSPs, ist ein gutes Beispiel für diese Partnerschaft bei der Entwicklung:

„Durch unsere strategische Partnerschaft mit Microsoft und als Mitglied des Microsoft Security Partner Advisory Council integriert DXC Azure Sentinel in die Cyberabwehrlösungen und intelligenten Sicherheitsvorgänge, die wir für unsere Kunden bereitstellen“, sagt Mark Hughes, Senior Vice President und General Manager, Security, DXC. „Unsere integrierte Lösung nutzt die cloudnativen Funktionen und Ressourcen von Azure Sentinel, um große Mengen an Sicherheitsincidents zu orchestrieren und zu automatisieren. Damit können sich unsere Sicherheitsexperten auf die forensische Untersuchung von Incidents und Bedrohungen mit hoher Priorität konzentrieren.“

Erste Schritte

Der Einstieg ist wirklich einfach. Wir bieten viele Informationen, die Ihnen helfen werden: von der hervorragenden Dokumentation bis zum direkten Kontakt mit uns über Yammer und per E-Mail.

Nehmen Sie an unserem Webinar am Donnerstag, dem 26. September, um 19:00 Uhr MESZ teil, um mehr über diese Neuerungen zu erfahren und Beispiele aus der Praxis zu erleben, bei denen Azure Sentinel dazu beigetragen hat, bisher unentdeckte Bedrohungen zu erkennen.

Wie geht es weiter?

Azure Sentinel ist unsere SOC-Plattform für die Zukunft. Wir werden weiter daran arbeiten, damit sie die Sicherheitsanforderungen unserer komplexen Welt noch besser erfüllt. Bleiben Sie auf dem Laufenden: