Die Menge an Daten, die Unternehmen mittlerweile aus mehreren Quellen sammeln, hat stark zugenommen. Dadurch wird es immer schwieriger, mit den neusten, fortschrittlichen Cybersicherheitsbedrohungen Schritt zu halten und die wichtigsten Business Assets zu schützen. Sie haben vielleicht Ihr Sicherheitssystem verstärkt und sogar ein SIEM-System erfolgreich eingeführt. Doch jetzt ist es entscheidend, eine zentrale Perspektive über Ihre Netzwerkinfrastruktur zu erhalten und die notwendigen Workflows und Incident Response Pläne zu definieren.
Azure Sentinel ist das Cloud-native SIEM- und SOAR-System von Microsoft, das Daten von all Ihren Anwendungen und Geräten sammelt, damit Sie verdächtiges Verhalten schnell erkennen und auf Bedrohungen reagieren können. Der Betrieb und die Überwachung eines SIEMs kann jedoch sehr mühsam, ressourcenaufwändig und kostspielig sein.
Was ist Azure Sentinel?
Die Einführung von Azure Sentinel Ende 2019 war ein innovativer Versuch von Microsoft, den Markt für SIEM zu revolutionieren. Microsoft hat erkannt, dass traditionelles Log Management und Security Information and Event Management (SIEM) Lösungen vor großen Herausforderungen stehen, mit der wachsenden Komplexität und mit den vielfältigen Angriffsflächen der neusten Cyberattacken auf der Höhe der Zeit zu bleiben. Was Azure Sentinel von den anderen verfügbaren SIEM-Systemen unterscheidet ist, dass es sich um eine Cloud-native Plattform handelt, die den Security Teams einen moderneren Ansatz zur Erkennung und Abwehr von Bedrohungen bietet.
Microsofts Azure Sentinel vereint SIEM und SOAR Funktionalitäten in einer einzigen cloudbasierten Lösung und ermöglicht es user-, gerät- und anwendungsübergreifend Daten auf Cloudebene zu sammeln. Nahezu alle denkbaren Datenquellen können an Azure Sentinel angebunden werden, unabhängig davon, ob die Daten von anderen Cloudanwendungen (wie z.B. Office365 oder Azure AD) oder von der On-Premise Infrastruktur (z.B. Firewalls oder Windows Server) kommen. Verschiedene Features, wie vordefinierte Abfragen und Workbooks mit visualisierten Daten, geben dem Benutzer die Möglichkeit, die Logdaten tiefgreifend zu analysieren. Die sogenannten Playbooks und Notebooks von Sentinel (auf der Basis von Logic Apps) vereinfachen auch die Reaktionen auf bestimmte Ereignisse.
Azure Sentinel baut auf der gesamten Palette der Azure-Dienste auf und ergänzt die Bedrohungserkennung und Analyse durch künstliche Intelligenz (KI). Die jahrzehntelange Erfahrung von Microsoft in der Verwaltung von Sicherheitsdaten in einem massiven globalen Maßstab, fließt auch in der Form von Threat Intelligence Informationen ein und ermöglicht, eigene Bedrohungsinformationen einzubringen.
Der wichtigste Vorteil von Sentinel gegenüber anderen SIEM-Tools ist die Kosteneffizienz: Es benötigt keine umfangreichen Infrastrukturinvestitionen und ist für die individuellen Anforderungen beliebig skalierbar. Sie zahlen für das, was Sie nutzen: Die Rechnungstellung erfolgt auf Grundlage des analysierten Datenvolumens.
Herausforderungen im Betrieb
In der IT-Sicherheitswelt wird nie genügend betont, dass der Besitz und Einsatz von state-of-the-art Sicherheitstools rund um die drei Säulen der IT-Security (Prevention – Detection – Response) allein nicht ausreicht. Genauso wichtig ist das Vorhandensein eines qualifizierten Teams mit entsprechendem Know-How, sowie die Etablierung automatisierter Prozesse und Abläufe. Bei vielen Unternehmen sind die IT-Teams knapp bemessen und nur beschränkt verfügbar und können daher nicht immer effektiv und zielorientiert eingesetzt werden.
Das Einrichten und Konfigurieren eines SIEM-Systems erfordert in der Regel viel Zeit und Aufwand. In größeren Organisationen, wo die einzelnen Teammitglieder oft geographisch verteilt arbeiten, ist die Lastverteilung der einkommenden Alerts und registrierten Incidents auf das Team ein wichtiger Prozessschritt, wenngleich dieser eine große Herausforderung darstellt. Es bedarf einer organisationsbezogenen Datenanreicherung (Data Enrichment) und eines Reaktionsprozesses (Triage), um effiziente Workflows automatisch abbilden zu können.
Die Strukturierung eines leistungsstarken und genauen Triage-Prozesses zur Reaktion auf Vorfälle verringert die Ermüdung der Security Analysten, verkürzt die Reaktionszeiten, unterstützt die Behebung von Vorfällen und stellt sicher, dass nur bereits validierte Warnungen in die tatsächliche Bearbeitung befördert werden.
Die Lösung von Anovis: ASIMO
Der Schlüssel für die erfolgreiche Beseitigung dieser Herausforderungen liegt also in der Reduktion der redundanten Analysen durch automatisierte Aufbereitung und Verteilung der klassifizierten und priorisierten Incidents. Genau mit diesen Zielsetzungen hat Anovis seine neue Lösung ASIMO (Azure Sentinel Incident Management Orchestrator) entwickelt.
ASIMO ermöglicht dem Kunden via Azure Sentinel API:
- die Lastverteilung der aufkommenden Tätigkeiten im SIEM Betrieb zu vereinfachen,
- schon bekannte Bedrohungen automatisch zu klassifizieren (TruePositive bei z.B. malicious URL, die schon geblockt werden),
- einen kundenspezifischen Incidents Response Plan zu definieren,
- die immer wiederkehrenden Tätigkeiten eines Tier1 Analysten zu automatisieren, um die Zeit für die relevanten Incidents freizuhalten.
Fazit
Die Einführung von Azure Sentinel ist eine Investition, die sich für Unternehmen jeder Art und Größe lohnen kann. Die zentralisierte Auswertung und Visualisierung der Logdaten, der Einsatz künstlicher Intelligenz (KI) und vorgelegten Playbooks sorgen dafür, den Sicherheitsstandard Ihres Unternehmens zu erhöhen.
Anovis als Managed Service Provider hilft Ihnen dabei Microsoft Azure Sentinel sinnvoll in Ihre Infrastruktur zu integrieren, notwendige Prozesse und Workflows zur Reduzierung von False-Positives zu definieren und unterstützt Ihr Unternehmen ressourcenschonend und effizient beim Betrieb Ihrer Cybersecurity- und SIEM-Umgebung.
Weitere Beiträge zu diesem Thema
Die 3 Säulen der IT-Security, aus Anovis-Blog, veröffentlicht am 03.08.2020