Verhaltensanalysen verstehen

Die Identifizierung von Bedrohungen innerhalb Ihrer Organisation und deren potenzielle Auswirkungen – ob eine kompromittierte Entität oder ein böswilliger Insider – ist ein zeitaufwendiger und arbeitsintensiver Prozess. Wenn Sie Warnungen durchforsten, die Punkte verbinden und aktiv suchen, summiert sich das zu enormen Mengen an Zeit und Aufwand, die mit minimalen Ergebnissen einhergehen. Und die Möglichkeit von komplexen Bedrohungen, die der Entdeckung entgehen. Insbesondere schwer zu fassende Bedrohungen wie Zero-Day-Exploits, gezielte Bedrohungen und Advanced Persistent Threats können für eine Organisation am gefährlichsten sein, weshalb deren Erkennung umso wichtiger ist.

Die Funktion zur Entitätsverhaltensanalyse in Microsoft Sentinel beseitigt die Eintönigkeit aus den Arbeitslasten Ihrer Analysten und die Unsicherheit aus ihren Bemühungen. Die Entitätsverhaltensfunktion bietet hochwertige und umsetzbare Intelligenz, sodass sie sich auf Untersuchung und Behebung konzentrieren können.

Da Microsoft Sentinel Protokolle und Warnungen aus allen verbundenen Datenquellen sammelt, analysiert und erstellt sie grundlegende Verhaltensprofile der Entitäten Ihrer Organisation (Benutzer, Hosts, IP-Adressen, Anwendungen usw.). Die Analyse erfolgt über den Zeit- und Peergruppenhorizont. Microsoft Sentinel verwendet verschiedene Techniken und Maschinelle Lernfunktionen und kann dann anomale Aktivitäten identifizieren und Ihnen helfen, festzustellen, ob eine Ressource kompromittiert ist. Darüber hinaus können Sie mit dieser Funktion auch die relative Vertraulichkeitsstufe bestimmter Ressourcen ermitteln, Ressourcenpeergruppen erkennen und die potenzielle Auswirkung einer bestimmten kompromittierten Ressource (deren „Auswirkungsgrad“) bewerten. Mit diesen Informationen können Sie Ihre Untersuchungen und die Incidentbehandlung effektiv priorisieren.

Architekturübersicht

Sicherheitsgesteuerte Analyse

Microsoft hat das Paradigma von Gartner für UEBA-Lösungen übernommen, bietet Microsoft Sentinel einen "outside-in"-Ansatz, der auf drei Referenzrahmen basiert.

Use Cases: Microsoft Sentinel priorisiert relevante Angriffsvektoren und Szenarien basierend auf Sicherheitsforschung, die mit dem MITRE ATT&CK-Framework für Taktiken, Techniken und Untertechniken abgestimmt ist. Die Priorisierung identifiziert verschiedene Entitäten als Opfer, Täter oder Drehpunkte in der Kill Chain. Microsoft Sentinel konzentriert sich speziell auf die wertvollsten Protokolle, die jede Datenquelle bereitstellen kann.

Data Sources: Während in erster Linie Azure Datenquellen unterstützt werden, wählt Microsoft Sentinel durchdachte Datenquellen von Drittanbietern aus, um Daten bereitzustellen, die unseren Bedrohungsszenarien entsprechen.

Analytics: Microsoft Sentinel verwendet Ml-Algorithmen (Machine Learning) und identifiziert anomale Aktivitäten, die Nachweise deutlich und präzise in Form kontextbezogener Anreicherungen darstellen. Beispiele hierzu finden Sie weiter unten.

Microsoft Sentinel stellt Artefakte dar, die Ihren Sicherheitsanalysten helfen, ein klares Verständnis für anomaliele Aktivitäten im Kontext und im Vergleich mit dem Basisprofil des Benutzers zu erhalten. Von einer benutzenden Person (oder einem Host oder einer Adresse) durchgeführte Aktionen werden kontextbezogen bewertet, wobei das Ergebnis „true“ eine erkannte Anomalie angibt:

• Über geografische Standorte, Geräte und Umgebungen hinweg.

• Über Zeit- und Häufigkeitshorizonte (im Vergleich zum eigenen Verlauf des Benutzers) hinweg.

• Im Vergleich zum Verhalten von Kollegen.

• Im Vergleich zum Verhalten der Organisation.

Bewertung

Jede Aktivität wird mit "Untersuchungsprioritätsbewertung" bewertet. Die Bewertung bestimmt die Wahrscheinlichkeit eines bestimmten Benutzers, der eine bestimmte Aktivität basierend auf dem Verhaltenslernen des Benutzers und seiner Peers ausführt. Aktivitäten mit besonders großer Anomalie werden mit dem höchsten Ergebnis (auf einer Skala von 0 bis 10) bewertet.