Microsoft Azure Sentinel – intelligente Sicherheitsanalysen für Ihr gesamtes Unternehmen

Veröffentlicht am 28 Februar, 2019

Director of Product Management, Microsoft Azure Sentinel

Das Thema Sicherheit kann sich zu einer unendlichen Geschichte entwickeln, einer Chronik immer komplexerer Angriffe mit Unmengen an Warnungen und lang andauernden Lösungsversuchen, bei denen aktuelle SIEM-Produkte (Security Information and Event Management) kaum noch Schritt halten können.

SecOps-Teams werden von einer riesigen Anzahl von Warnungen überflutet und verbringen viel zu viel Zeit mit Aufgaben wie dem Einrichten von Infrastrukturen und der Wartung. Aus diesen Gründen werden viele ernsthafte Bedrohungen gar nicht erst erkannt. Dazu wird davon ausgegangen, dass bis 2021 etwa 3,5 Mio. Sicherheitsexperten fehlen werden, was die Herausforderungen der Sicherheitsteams nicht vereinfachen wird. Sie benötigen eine Lösung, die es Ihrem SecOps-Team möglich macht, Bedrohungen klar zu erkennen und Ablenkungen zu beseitigen.

Daher haben wir das SIEM-Tool neu gedacht, und zwar als eine cloudnative Lösung mit dem Namen Microsoft Azure Sentinel. Azure Sentinel bietet intelligente Sicherheitsanalysen auf Cloudebene für Ihr gesamtes Unternehmen. Mit Azure Sentinel ist das Sammeln von Sicherheitsdaten für ganze Hybridorganisationen ein Kinderspiel: von Geräten über Benutzer und Apps bis hin zu Servern und sämtlichen anderen Cloudkomponenten.  Mithilfe von künstlicher Intelligenz wird sichergestellt, dass echte Bedrohungen schnell erkannt werden. Für Sie entfällt damit der Aufwand herkömmlicher SIEM-Lösungen, eine Infrastruktur einzurichten, zu warten und zu skalieren. Da diese Lösung auf Azure basiert, bietet sie die nahezu unbegrenzten Skalierungsmöglichkeiten der Cloud und Geschwindigkeiten, die Ihren Sicherheitsanforderungen gewachsen sind. Traditionelle SIEM-Produkte sind häufig äußerst kostspielig in der Anschaffung und im Betrieb. Oftmals müssen Sie vorab bezahlen und stehen danach noch vor den Kosten für Infrastrukturverwaltung und Datenerfassung. Bei Azure Sentinel gibt es keine Vorauszahlungen – Sie bezahlen nur für das, was Sie auch nutzen.

Viele Unternehmen verwenden Office 365 und stellen immer mehr auf die erweiterten Sicherheits- und Complianceangebote in Microsoft 365 um. Es gibt sehr viele Situationen, in denen Sie Sicherheitsdaten von Benutzern und Endpunktanwendungen mit Informationen aus Ihrer Infrastrukturumgebung oder von Drittanbietern kombinieren müssen, um einen Angriff in seiner Gänze verstehen zu können.

Ideal wäre es in solchen Fällen, wenn dies innerhalb der Compliancegrenzen eines einzigen Cloudanbieters möglich wäre. Wir können heute bekannt geben, dass Sie Ihre Aktivitätsdaten aus Office 365 kostenlos in Azure Sentinel nutzen können. Mit nur wenigen Klicks stehen Ihre Daten in der Microsoft-Cloud bereit.

„Microsoft Azure Sentinel ermöglicht es uns, die Herausforderungen an die SIEM-Umgebung für unsere Kunden besser zu bewältigen. Dazu bietet es eine einfache Lösung für die Aufbewahrung der Daten und mögliche Einschränkungen durch die DSGVO.“

Andrew Winkelmann, Global Security Consulting Practice Lead, Accenture

Übersichtsdashboard – Azure Sentinel

Erfahren Sie im Folgenden, wie Azure Sentinel Ihnen bei cloudnativen Sicherheitsvorgängen hilft:

Einfaches Sammeln von Daten aus Ihrem gesamten Unternehmen: Mit Azure Sentinel können Sie sämtliche sicherheitsrelevanten Daten mit integrierten Connectors, nativer Integration von Microsoft-Signalen und Unterstützung von branchenüblichen Protokollformaten wie dem allgemeinen Ereignisformat und syslog aggregieren. Mit wenigen Klicks können Sie dazu Ihre Daten aus Microsoft Office 365 kostenlos importieren und für die Analyse mit anderen Sicherheitsdaten kombinieren. Azure Sentinel nutzt Azure Monitor, der auf einer bewährten und skalierbaren Log Analytics-Datenbank aufbaut. Diese kann pro Tag mehr als 10 Petabyte erfassen und bietet eine extrem schnelle Abfrageengine, mit der Sie innerhalb von Sekunden Millionen Datensätze sortieren können.

Darüber hinaus arbeiten wir auch in Zukunft in der Microsoft Intelligent Security Association mit vielen Partnern zusammen. Azure Sentinel kann mit beliebten Lösungen wie Palo Alto Networks, F5, Symantec, Fortinet und Check Point verbunden werden, und viele weitere werden noch folgen. Darüber hinaus integriert Azure Sentinel die Microsoft Graph-Sicherheits-API, sodass Sie Ihre eigenen Feeds zur Datenanalyse importieren und die Bedrohungserkennung und Ihre Warnungsregeln anpassen können. Über benutzerdefinierte Dashboards können Sie Ihre Ansichten für den jeweiligen Anwendungsfall optimieren.

Adam Geller, Senior Vice President, SaaS, Virtualization, and Cloud-Delivered Security von Palo Alto Networks: „Wir sind mit unserer fortlaufenden Zusammenarbeit mit Microsoft und unserer gemeinsamen Arbeit an einer besseren Sicherheitsorchestrierung für unserer gemeinsamen Kunden sehr zufrieden. Diese neueste Ergänzung erlaubt es unseren Kunden, ihre physischen und virtualisierten Protokolle aus Firewalls der nächsten Generation an Azure Sentinel weiterzuleiten und mithilfe von benutzerdefinierten Dashboards und künstlicher Intelligenz potenzielle Sicherheitsincidents schneller zu erkennen. Kunden von Palo Alto Networks können außerdem AutoFocus und andere Drittanbieterlösungen für Bedrohungsanalysen auf Azure Sentinel erweitern, da wir seit Neuestem auch eine Integration zwischen MineMeld und der Microsoft Graph-Sicherheits-API bereitstellen“.

Schnelles Analysieren und Erkennen von Bedrohungen mit KI vor Ort: Sicherheitsanalysten stehen heute der schwierigen Aufgabe gegenüber, enorme Mengen an Warnungen zu sichten und Warnungen aus den unterschiedlichen Produkten manuell oder mit einer herkömmlichen Engine zusammenzuführen. Deshalb nutzt Azure Sentinel modernste skalierbare Algorithmen des maschinellen Lernens dazu, Millionen niederschwellige Anomalien zu korrelieren, um die wenigen relevanten Anomalien zu ermitteln. ML-Technologien helfen Ihnen dabei, aus den riesigen Datenmengen, die Sie erfassen, schnell nützliche Informationen zu extrahieren und für Sie zu verknüpfen. So können Sie z.B. sehr schnell ein kompromittiertes Konto ermitteln, über das Ransomware in einer Cloudanwendung bereitgestellt wurde. Damit kann die Anzahl weniger relevanter Informationen drastisch gesenkt werden. Bei Tests konnten wir eine Reduzierung von bis zu 90 % bei den Warnungen feststellen. Early Adopters berichten von einem großen Nutzen bei der Bedrohungserkennung mit KI. Reed M. Wiedower, CTO von New Signature: „Azure Sentinel hat für uns einen riesigen Nutzen, da es umfassende Einblicke in die unterschiedlichsten Bereiche unserer Infrastruktur bietet.“

Diese integrierten Machine Learning-Modelle basieren auf den Erkenntnissen des Sicherheitsteams bei Microsoft aus vielen Jahren, in denen es die Cloudressourcen der eigenen Kunden geschützt hat. Sie müssen kein Datenexperte sein, um diese Vorteile nutzen zu können – Sie müssen sie einfach nur aktivieren. Wenn Sie jedoch Datenexperte sind und die Erkennungen anpassen und erweitern möchten, können Sie Ihre eigenen Modelle mithilfe des integrierten Azure Machine Learning Service importieren. Darüber hinaus kann Azure Sentinel mit Benutzeraktivitäten und Verhaltensdaten von Microsoft 365-Sicherheitsprodukten verknüpft werden, um diese mit anderen Quellen zu kombinieren und Einblicke in Angriffsfolgen zu gewinnen.

Untersuchen und Ermitteln auffälliger Aktivitäten: Durch die grafische und KI-basierte Untersuchung kostet es erheblich weniger Zeit, das gesamte Ausmaß eines Angriffs und seine Auswirkungen zu verstehen. Sie können den Angriff visualisieren und noch auf demselben Dashboard schnell Aktionen einleiten.  

Grafischer und KI-basierter Untersuchungsworkflow

Die proaktive Erkennung auffälliger Aktivitäten stellt eine weitere wichtige Aufgabe für Sicherheitsanalysten dar. Häufig ist der Prozess, mit dem SecOps die Daten sammeln und analysieren, wiederholbar und könnte auch automatisiert werden. Nun bietet Ihnen Azure Sentinel zwei Funktionen, mit denen Sie Ihre Analysen automatisieren können, indem Sie Abfragen für die Erkennung und Azure Notebooks basierend auf Jupyter Notebooks erstellen. Wir haben eine Reihe von Abfragen und Azure Notebooks entwickelt, die eine proaktive Erkennung, wie sie die Incident Response- und Threat Analysts-Teams von Microsoft durchführen, ermöglichen. Natürlich werden wir unsere Abfragen und Azure Notebooks an Veränderungen bei den Bedrohungen anpassen. Wir stellen neue Abfragen und Azure Notebooks über die GitHub-Community von Azure Sentinel bereit.

Automatisieren häufiger Aufgaben und der Reaktion auf Bedrohungen: Mit KI können Sie sich besser auf die Suche nach Problemen konzentrieren. Nachdem Sie ein Problem behoben haben, möchten Sie es natürlich nicht ständig erneut behandeln, sondern stattdessen die Reaktion darauf automatisieren. Azure Sentinel bietet eine integrierte Automatisierung und Orchestrierung mit vor- oder benutzerdefinierten Playbooks zum Beheben wiederholt auftretender Aufgaben und zur schnellen Reaktion auf Bedrohungen. Azure Sentinel überwacht die vorhandenen Unternehmenstools zur Abwehr und Erkennung, einschließlich der führenden Sicherheitsprodukte, eigener Tools und anderer Systeme, z.B. Anwendungen zur Personalverwaltung oder Systeme zur Workflowverwaltung wie ServiceNow.

Integrierte Automatisierung mit vor- oder benutzerdefinierten Playbooks in Azure Sentinel

Die unerreichten Analysefunktionen von Microsoft für den Umgang mit Bedrohungen, die auf der Analyse von mehr als 6,5 Billionen Signalen täglich und einem Jahrzehnte umspannenden Sicherheitswissen in Cloudumfang beruhen, helfen Ihnen bei der Modernisierung Ihrer Sicherheitsabläufe.

„Azure Sentinel stellt eine proaktive und schnelle cloudnative SIEM-Lösung dar, mit der Kunden ihre Sicherheitsworkflows vereinfachen und problemlos skalieren können.“

Richard Diver, Cloud Security Architect, Insight Enterprises

Sicherheit muss keine unendliche Geschichte sein. Nutzen Sie stattdessen die Cloud und umfassende Analysen. Machen Sie Ihren Bedrohungsschutz mit künstlicher Intelligenz smarter und schneller. Importieren Sie für die Sicherheitsanalyse Daten aus Microsoft Office 365 kostenlos. Legen Sie noch heute mit Microsoft Azure Sentinel los.

Microsoft Azure Sentinel ist ab heute als Vorschauversion im Azure-Portal verfügbar.