Azure Sentinel

Bedrohungsbekämpfung der nächsten Generation

abtis GmbH / 26. Januar 2021

Die IT-Systeme von Unternehmen entwickeln sich durchgehend weiter und gewinnen an Komplexität. Mit der zunehmenden Digitalisierung wächst auch die Bedrohung durch Cyberkriminelle. Um einem möglichen Hackerangriff vorzubeugen wird eine immer größere Vielfalt an Sicherheitsprodukten implementiert. Der Vielfalt an Sicherheitsmechanismen ist es geschuldet, dass ein ganzheitliches Monitoring erschwert wird. Eine weitere Problematik besteht darin, die Informationen aus den jeweiligen Quellen zu korrelieren, um daraus Bedrohungen und Angriffe zu identifizieren. Eine Lösung, welche diesem Problem entgegenwirkt, ist Azure Sentinel.

Azure Sentinel ist eine SIEM- (Security Information and Event Management) und SOAR-Anwendung (Security Orchestration Automated Response). Als eine cloudnative Lösung bietet Sentinel eine zentrale, skalierbare und intelligente Sicherheits- und Bedrohungsanalyse für das gesamte Unternehmen. Die Funktionalität von Azure Sentinel setzt sich aus den Aspekten Sammeln, Erkennen, Untersuchen und Reagieren zusammen (siehe Abbildung 1).

Durch viele bereits vorkonfigurierte Konnektoren können Informationen aus diversen IT-Sicherheitsprodukten zentral und in Echtzeit gesammelt werden. Neben den Microsoft Konnektoren können viele weitere Sicherheitslösungen über Common Event Format (CEF), Syslog oder eine REST-API mit Azure Sentinel verbunden werden. Die Daten werden in einem Azure Log Analytics Arbeitsbereich gespeichert und 90 Tage lang kostenlos aufbewahrt.

Nachdem alle sicherheitsrelevanten Daten aggregiert gesammelt wurden, ist es möglich Anomalien in den IT-Systemen zu erkennen. Diese Anomalie Erkennung beruht auf definierten Regeln. Dabei kann auf von Microsoft vorgefertigte Regeln, oder selbst erstellte Regeln zurückgegriffen werden. Die Datenanalyse wird durch den Einsatz von künstlicher Intelligenz (KI) verbessert und ausgereifter.

Nach der Identifikation einer Bedrohung durch Azure Sentinel, werden Incidents erstellt. Incidents sind eine Korrelation von Warnungen, welche demselben Vorfall zuzuordnen sind. Diese können im Detail analysiert und visualisiert werden (siehe Abbildung 2), um eine ganzheitliche Untersuchung des Vorfalls vorzunehmen. Diese Analyse erlaubt es, alle betroffenen Systeme und Entitäten zu identifizieren und den Verlauf des Vorfalls zu rekonstruieren.

Zudem besteht die Möglichkeit, mit Hilfe von Playbooks automatische Reaktionen auf Zwischenfälle anzustoßen. Diese Reaktion ist frei gestaltbar und kann von einer Benachrichtigung per E-Mail bis zu dem Sperren von User Accounts reichen. Das Erstellen von Playbooks erfolgt mittels Logic Apps. Somit können voll automatisiert die ersten Gegenmaßnahmen eingeleitet und ein möglicher Schaden frühzeitig eingedämmt werden.

Azure Sentinel stellt eine flexible und fortgeschrittene Lösung dar, welche ein tiefes und umfangreiches Monitoring der IT-Systeme erlaubt. Die Vorteile von Azure Sentinel sind:

  • Skalierbarkeit
  • Möglichkeit viele verschiedene Sicherheitslösungen anzubinden
  • einfache Implementierung
  • umfassende Analysemöglichkeiten
  • Automatische Reaktion auf Zwischenfälle
  • KI unterstütze Analysen
  • Erleichterte Priorisierung von Vorfällen

Die Implementierung von Azure Sentinel unterstützt dabei, den Weg in die Cloud sicher zu gestalten und damit den neuen Herausforderungen gewachsen zu sein. Azure Sentinel erlaubt es, Bedrohungen erkennen und entsprechend darauf reagieren zu können.


 

Zurück