Azure Sentinel: Microsofts SIEM für On-Premises und Cloud

Ein SIEM ist ein zentraler Speicherort für alle Sicherheits- und Ereignis­protokolle von (idealerweise) allen Knoten in Ihrem Netzwerk. Endpunkte, Switches, Router, Firewalls, Proxies, VMs, Cloud-Anwendungen usw. leiten alle ihre Logs dorthin weiter, wo die Daten analysiert, Ereignisse korreliert und bei verdächtigen Aktivitäten Alarme ausgelöst werden. Es ist ein unverzichtbares Werkzeug für einen "Zero Trust"-Ansatz.

"Null Vertrauen" ersetzt die traditionelle Annahme "Wenn Sie sich im Unter­nehmens­netzwerk befinden, wird Ihnen vertraut". Dabei wird jede Geräte­verbindung, jede Anmeldung für jede Anwendung auf ihre Vertrauens­würdigkeit hin überprüft und Richtlinien werden entsprechend angewendet.

Zusätzlich verlagert der Ansatz "Was tun wenn" den Schwerpunkt vom reinen Schutz des Netzwerks und seiner Ressourcen auf die Planung, Überwachung und Netzwerk­segmentierung für Situationen, in denen Systeme kompromittiert wurden.

SIEM-Lösungen erfordern zweifellos viel Aufwand, wenn man sie on-prem betreibt. Die Zeit, die man investiert, um die Infrastruktur aufrecht­zuerhalten, fehlt dann oft beim Aufspüren von Angreifern.

Da zudem die Lizenzkosten oft von der Menge der gespeicherten Daten abhängen, besteht ein Anreiz, die Quellen einzu­schränken oder die Protokoll­daten nur begrenzte Zeit vorzuhalten, was die Sicht­barkeit verringert.

Es ist kein Zufall, dass Google und Microsoft ihre Cloud-basierten SIEMs Chronicle bzw. Sentinel fast zeitgleich ankündigt haben und als besonderen Vorteil hervorheben, dass die Infrastruktur dieser Dienste weniger Wartung durch den Anwender erfordert.

Verbindung mit Sicherheitsdatenquellen

Sobald Sie einen Arbeitsbereich in Sentinel erstellt haben, müssen Sie Ihre Datenquellen damit verbinden. Wie bereits erwähnt, können Sie, wenn Sie Office 365 einsetzen, dessen Protokolldaten ohne zusätzliche Kosten aufnehmen und analysieren. Dies ist eine günstige Einstiegs­möglichkeit, ebenso wie die 31-tägige kostenlose Testversion.

Es gibt mehrere Verfahren, um Sentinel mit Datenquellen zu verbinden. Im Allgemeinen sind Cloud/API-basierte Lösungen unkompliziert, wohingegen On-Prem-Systeme mehr Arbeit erfordern.

Die Anzahl der unterstützten Quellen ist zu lang, um sie hier aufzuzählen, aber einige Highlights sind AWS (CloudTrail), Azure AD, Azure Defender (ehemals Azure Security Center), Barracuda, F5, Forcepoint und Zimperium. Mit dem Common Event Format (CEF) können Sie Check Point, Cisco, Fortinet, Palo Alto, ZScaler und viele andere importieren.

Viele Datenquellen werden mit vorkonfigurierten Arbeitsmappen, Beispiel­abfragen und analytischen Vorlagen geliefert, die Ihnen den Einstieg erleichtern.

Arbeitsmappen und Notizbücher

Der Office 365 Connector bietet beispielsweise Arbeitsmappen für Exchange, SharePoint und Microsoft 365 im Allgemeinen. Dabei handelt es sich im Wesentlichen um interaktive Dashboards, mit denen Sie die Aktivitätsdaten visualisieren und tiefer in diese eintauchen können.

Die Abfragesprache für Sentinel (und das ihm zugrunde liegende Log Analytics) ist die Kusto Query Language (KQL), die Ähnlichkeiten mit SQL aufweist. Sie können einfache Abfragen direkt in der Sentinel-GUI ausführen, zudem stellen die meisten Konnektoren eine Reihe von Beispiel­abfragen zur Verfügung. In der folgenden Abbildung führe ich eine Query aus, um die Aktivitäten eines neuen Verwaltungs­kontos zu untersuchen.

Wenn Ihre Anfragen wachsen und Sie mehr Code und Erklärungen hinzufügen müssen, damit andere sie nach­vollziehen können, dann sollten Sie Notizbücher zusammen mit Visualisierungen ausprobieren. Notebooks basieren auf Azure Machine Learning, das wiederum auf Jupyter-Notebooks aufbaut.

Bedrohungen aufklären, Eindringlinge verfolgen

Je mehr Sie sich damit vertraut machen, sich durch die Protokolldaten zu wühlen und nach Anzeichen für das Eindringen von Unbefugten in das Netzwerk zu suchen, desto mehr werden Sie die integrierten Abfragen anpassen und schließlich Ihre eigenen erstellen.

Jede Abfrage entspricht einer oder mehreren Mitre Att&ck-Techniken. Das Mitre-Framework stellt eine Möglichkeit dar, Angriffs­methoden zu kategorisieren und diese mit verschiedenen Gruppen von Angreifern zu verknüpfen. Es handelt sich um frei zugängliche Informationen. Sie können hier mehr darüber erfahren.

Wenn Sie sehen, dass etwas passiert, was von Interesse ist, können Sie Lesezeichen und Kommentare hinzufügen. Sie können auch in den Livestream-Modus wechseln, bei dem Sentinel die Daten abfragt, während sie in das SIEM-Tool einfließen, um Angriffe in Echtzeit abzufangen.

Ein weiterer wesentlicher Bestandteil jedes SIEM ist die Möglichkeit, Threat Intelligence (TI)-Feeds mit aktuellen Risiko­indikatoren (v4/v6 IP-Adressen, Domänen­namen, File Hashes für bösartige Inhalte oder URLs) einzubinden, so dass auf diese aufmerksam gemacht wird, falls sie in den Protokollen auftauchen. Sie können jetzt auch manuell Indikatoren auf dem neuen TI-Blade hinzufügen.

Vorfälle

Viele Jahre lang war das Standard­verhalten der meisten IT-Sicherheitsprodukte "etwas potentiell Bösartiges erkennen und dann einen Menschen alarmieren". Dies hat zu verschiedenen Problemen geführt. Eines davon ist, dass Sie mit zunehmender Anzahl von Alarmen mehr Menschen darauf ansetzen müssen.

Zweitens - und das macht sich besonders in Umgebungen mit mehreren unterschiedlichen Sicherheits­produkten bemerkbar - sind Warn­meldungen in getrennten Tools nicht leicht zu korrelieren, auch wenn sie mit demselben Angriff zusammen­hängen.

Sentinel verwendet ML, um Low-Fidelity-Alarme zu korrelieren, die für sich genommen vielleicht nicht nennenswert sind, die aber, wenn man sie in ihrer Gesamtheit über Rechner und Netzwerke hinweg verfolgt, zu High-Fidelity-Vorfällen mit einer niedrigen Rate von Falsch-Positiven führen (Microsoft nennt dies Fusion).

In der folgenden Abbildung sehen Sie einen Vorfall von geringer Schwere mit seltenen Aktivitäten bei der Exchange-Administration.

Wenn Sie Vorfälle untersuchen, dann zeigen Diagramme die Beziehung zwischen verschiedenen Geräten, Benutzer­konten und Prozessen. Visualisierungen helfen, das Problem schneller zu verstehen. Hier ist ein Beispiel eines Untersuchungs­graphen für eine ungewöhnliche Anmeldung. Dieser Screenshot zeigt auch den zeitlichen Verlauf der Aktivitäten.

Watchlist und Playbooks

Neu hinzugekommen ist die Möglichkeit, CSV-Dateien mit nicht sicherheits­relevanten Daten wie Objekten aus dem Inventar, privilegierten Konten oder kürzlich gekündigten Mitarbeitern zu importieren und diese dann in Abfragen zu verwenden, um zusätzlichen Kontext zu liefern.

Sentinel bietet außerdem SOAR-Funktionen (Security Orchestration, Automation and Response) über Logic Apps. Auch hier geht es darum, die Low-Level-Arbeit zu automatisieren und den Analysten die Möglichkeit zu geben, sich auf das eigentliche Vorfall-Management zu konzentrieren.

Wenn zum Beispiel ein ungewöhnliches Ereignis hinsichtlich des Standorts entdeckt wird, dann kann ein Playbook automatisch eine E-Mail oder eine Textnachricht an den Benutzer oder seinen Manager senden, um zu überprüfen, ob er sich tatsächlich aus diesem ungewöhnlichen Land eingeloggt hat.

Wenn dies der Fall war, wird der Alarm geschlossen, ohne dass ein Mensch daran beteiligt sein muss, wenn nicht, wird er als schwerer Vorfall gekennzeichnet. Playbooks lassen sich auch verwenden, um Angriffe automatisch zu blockieren, einen Benutzer zur MFA zu zwingen oder die Daten für einen Vorfall anzureichern, bevor sie einem Analysten gezeigt werden.

Entity Behavior und Community

User and Entity Behavior Analytics (UEBA), als öffentliche Preview seit der Ignite 2020 verfügbar, benötigt nur ein oder zwei Wochen, um ein Muster in den Routine­aktivitäten jedes Benutzers und Geräts zu erkennen.

Dieses dient dann dazu, abnormales Verhalten zu identifizieren. Die Daten, die Sentinel zum Aufbau von ML verwendet, werden ebenfalls in Sentinel gespeichert, so dass ein Analyst diese Artefakte bei der Erstellung benutzer­definierter Abfragen verwenden kann.

Eine weitere Funktion, die sich aktuell in der Vorschau befindet, ist die Möglichkeit, eigene ML-Modelle auf Basis von Sentinel-Daten aufzubauen.

Die wahre Stärke von Sentinel und der Grund, warum ich glaube, dass es sich zu einem ernsthaften SIEM-Konkurrenten entwickelt und auch eine attraktive Option für KMUs wird, ist jedoch die Community um Sentinel herum. Es gibt ein aktives GitHub-Repository mit Abfragen, Workbooks, Notebooks, Playbooks und analytischen Regeln.

Wenn Sie den Umgang mit Sentinel erlernen möchten, dann finden Sie auf dieser Seite Schulungs­videos und Trainingsmaterial. Darüber hinaus bietet Microsoft eine Laborumgebung, wo man mit einem einzigen Klick VMs, Sentinel und simulierte Daten bereitstellen kann.