Bedrohungen und Angriffe erkennen, bevor sie Schaden anrichten

Bedrohungen und Angriffe erkennen, bevor sie Schaden anrichten

csm_maxworx_post_blogbeitrag_v01_AS_200303_1b7873686f

Azure Advanced Threat Protection und Azure Sentinel Cloud Native SIEM

Da schleicht jemand verdächtig auf Ihrem Firmengelände herum und probiert aus, ob Türen oder Fenster offenstehen? Er hat einen großen Schlüsselbund und versucht, in Ihr Gebäude einzudringen?
Ein eindeutig verdächtiges Verhalten, das auf einen Angriff hindeutet. Sie müssen etwas unternehmen und können das auch – weil Sie die Gefährdung klar und deutlich erkannt haben.
Aber erkennen Sie eine solche Gefährdung auch in Ihrer IT Infrastruktur? Sind Ihre Benutzer und deren Identitäten sicher? Erkennen Sie verdächtige Benutzeraktivitäten, die auf einen laufenden oder bevorstehenden Angriff hindeuten? Wissen Sie, wie Sie in einem solchen Fall reagieren müssen?
Wir stellen Ihnen in diesem Artikel zwei Produkte vor, die Sie als Teil der umfangreichen Security Lösungen von Microsoft in genau dieser Aufgabenstellung unterstützen. Es handelt sich hier um
• Azure Advanced Threat Protection
und
• Azure Sentinel SIEM und SOAR
Wofür stehen diese Abkürzungen und was genau können Sie damit anfangen? Das erläutern wir im Folgenden – verständlich auch für den Nicht-Experten.

Azure Advanced Threat Protection (Azure ATP)

Azure ATP ist eine Sicherheitslösung, die über Sensoren die Ereignisse in Ihrem lokalen Benutzerverzeichnis Active Directory überwacht und verdächtige Verhaltensmuster erkennt. Der Schutz und die Überwachung des Active Directory ist deshalb so bedeutend, da es die wichtigsten und schützenswertesten Objekte in Ihrem IT Umfeld enthält: Die Benutzeridentitäten und damit Logins für die meisten Ihrer Systeme.
Azure ATP überwacht und analysiert permanent Benutzeraktivitäten und -informationen. Als lernendes System erkennt es Abweichungen vom Standardverhalten.
So sind einzelne fehlgeschlagene Anmeldeversuche ganz normal. Sofern diese aber gehäuft vorkommen und damit eine Abweichung von der sog. Baseline darstellen, könnte es sich um einen anlaufenden Cyberangriff handeln. Jemand versucht gezielt, die Passwörter eines Benutzers zu erraten.
In einem klassischen Angriffsszenario – der sogenannten Killchain des Cyberangriffs – existieren unterschiedliche Phasen, in denen Azure ATP Sie bei der Erkennung unterstützt.

Reconnaissance

In der Reconnaisance Phase versucht ein Angreifer, relevante Informationen über Ihr Netzwerk zu sammeln und sucht lohnenswerte Ziele. Welche Benutzernamen gibt es, welche Benutzer sind in welchen Gruppen, welche Geräte haben welche IP Adressen und vieles mehr?

Kompromittierung von Anmeldeinformationen

Hierunter verstehen wir die Aktivitäten, z.B. über Brute Force Attacken an die Anmeldeinformationen von Benutzern zu gelangen.

Lateral Movements

Sobald ein Angreifer ein Benutzerkonto unter seine Gewalt gebracht hat, versucht er, sich nach und nach mehr Rechte, bis hin zum globalen Administrator anzueignen. Dies bezeichnen wir als Lateral Movement.

Domain dominance

Sobald der Angreifer die erforderlichen Rechte hat, wird er versuchen, diese zu nutzen, in dem er z.B. Code ausführt, sog. „Golden Tickets“ ausstellt usw. Er dominiert Ihr Active Directory.

In allen diesen Phasen können Sie die verdächtigen Aktivitäten mit Hilfe von Azure ATP in Echtzeit erkennen. Dabei filtert Azure ATP aus dem Grundrauschen die wirklich relevanten Warnungen für Sie heraus.

Nachdem Sie einen möglichen Angriff erkannt haben, können Sie mit Hilfe von Azure ATP einzelne Vorfälle untersuchen und nach und nach in die Details des Angriffs einsteigen. Auch hierbei werden Sie von Azure ATP unterstützt.

Abbildung 1 – Azure ATP Architektur, Quelle: Microsoft

Azure Sentinel Cloud SIEM & SOAR

SIEM? SOAR? Schon wieder neue Abkürzungen?

SIEM steht für „Security Information & Event Management“, also das Management von Sicherheitsereignissen in Ihrem Unternehmen.
SOAR steht für „Security Orchestration, Automation and Response“ und bezeichnet Tools und Methoden, um auf Sicherheitsereignisse reagieren zu können. Im Idealfall erfolgt die Reaktion automatisiert.

Microsofts Azure Sentinel vereint SIEM und SOAR Funktionalitäten in einer einzigen cloudbasierten und KI unterstützten Lösung. Es benötigt dadurch keine umfangreichen Infrastrukturinvestitionen, sondern ist beliebig für Ihre Anforderungen skalierbar.

Die Möglichkeiten von Azure Sentinel lassen sich grob in vier Bereiche unterteilen.

Abbildung 2 – Bestandteile von Azure Sentinel, Quelle: Microsoft

Sammeln

Azure Sentinel versetzt Sie in die Lage, Daten und Ereignisse aus Ihrer gesamten Infrastruktur zu sammeln. Neben den Daten aus Azure ATP, Office 365 oder Ihrer Cloud Umgebung, können Sie ebenso Ereignisse Ihrer Firewalls, VPN, Virenschutzlösungen, Amazon Webservices, Linux Server u.v.m. sammeln. Azure Sentinel stellt hierfür eine Vielzahl an Konnektoren zur Verfügung.

Abbildung 3 – Konfiguration von Konnektoren in Azure Sentinel

Ermitteln

Die umfangreichen und durch künstliche Intelligenz unterstützten Analysefunktionen helfen Ihnen bei der Erkennung von möglichen Sicherheitsereignissen. Häufen sich z.B. die Versuche, durch Ihre Firewalls zu kommen? Gibt es viele fehlgeschlagene Anmeldeversuche? Gibt es ungewöhnlich hohen Netzwerktraffic von bestimmten Quellen? Azure Sentinel unterstützt Sie bei der Erkennung solcher Anomalien und stellt Ihnen ein intelligentes Toolset bereit, um eigene Abfragen zu definieren.

Abbildung 4 – Darstellung von Warnungen und Alarmen in Azure Sentinel

Untersuchen

Untersuchen Sie Auffälligkeiten und lassen Sie sich durch KI dabei unterstützen. Erkennen Sie Zusammenhänge und lassen Sie sich diese grafisch aufbereiten. Azure Sentinel unterstützt Sie bei der Analyse von Ereignissen.

Abbildung 5 – Grafische Untersuchung eines Alarms in Azure Sentinel

Reagieren

Das Erkennen eines Cyberangriffs hilft Ihnen nur dann, wenn Sie entsprechend darauf
reagieren können. Mit Hilfe von sog. Playbooks und Notebooks stellt Ihnen Azure Sentinel
Tools zur Verfügung, mit denen Sie

  •  Auf Ereignisse reagieren können. Sperren Sie z.B. automatisiert verdächtige Benutzerkonten, blockieren Sie den Netzwerkverkehr von einer bestimmten Quelle u.v.m.
  • Detaillierte Verfahrensanweisungen zur Analyse zur Hand haben. Hier geht es nicht nur um Automatisierung, sondern gezielte Anleitungen zum sog. „Hunting“.

Community

Eine der wohl interessantesten Ergänzungen der technischen Möglichkeiten von Azure Sentinel ist die aktive Community, in der Sie neben Diskussionen und Hilfestellungen vor allem eine Vielzahl an Vorlagen für Ihre Analysen, Playbooks, Notebooks, Abfragen etc. finden.

Azure ATP & Azure Sentinel – ein Top-Team

Wir haben gesehen, dass Azure ATP ideal geeignet ist, Auffälligkeiten und Angriffsmuster in Ihrem Active Directory zu erkennen. Azure Sentinel komplettiert diese Funktionen, in dem Sie dort nicht nur die Signale aus Azure ATP verarbeiten können. Sie erweitern mit Azure Sentinel Ihre Überwachung auf sämtliche kritischen Infrastrukturkomponenten und erhalten zusätzlich ein wirksames Toolset für die Reaktion auf mögliche Angriffe.

Aus unserer Sicht ein Top-Team für den Schutz Ihres Unternehmens vor Cyberangriffen! Wir helfen Ihnen gerne bei der Einführung und beim Betrieb als kompetente Security Operations Einheit.

Share on whatsapp
Share on facebook
Share on twitter
Share on linkedin
Share on email

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Weitere Beiträge entdecken