Mit SIEM den Hackern auf der Spur
Microsoft schärft sein Cloud-Tool Sentinel nach
Foto: Alex Zotov - shutterstock.com
Microsoft arbeitet an neuen Funktionen für sein Cloud-Tool "Sentinel", mit denen es für Security-Administratoren leichter werden soll, Event-Logs zu verwalten und zu analysieren. Sämtliche Ereignisse und Vorkommnisse im eigenen Netzwerk zu protokollieren, ist nach Auffassung von Security-Experten eines der nützlichsten Werkzeuge in Security-Arsenal der Anwenderunternehmen. Allerdings würden die damit verbundenen Möglichkeiten vielfach unterschätzt und die entsprechenden Tools zu stiefmütterlich behandelt.
Event-Protokolle können entscheidende Informationen darüber liefern, wie es zu einem Security-Vorfall gekommen ist und was die Angreifer getan haben. Dafür müssen die Tools allerdings richtig eingesetzt werden. Zu oft werden beispielsweise die Protokolle nicht lange genug aufbewahrt. Verschiedenen Untersuchungen zufolge lauern Hacker, nachdem sie ein Firmennetz infiltriert haben, viele Wochen, bevor sie ihre Malware detonieren lassen.
Eine bessere Analyse von Event-Protokollen kann dabei helfen, das zu verhindern. Unterstützung bieten Werkzeuge für Security Information and Event Management (SIEM). Für die Hersteller dieser Tools geht es darum, immer feinere Antennen für die Aktivitäten von Hackern sowie deren Malware zu entwickeln und die Software entsprechend weiterzuentwickeln.
Microsoft hat jüngst einige zusätzliche Features für sein Cloud-basiertes SIEM-Tool Sentinel angekündigt:
Support für MITRE ATT&CK-Techniken: Sentinel gleicht die Informationen aus den analysierten Protokollen mit bekannten Angriffsmustern. Beispielsweise lassen sich so aktive Aufklärungsscans von Angreifern (Technik 1595) besser identifizieren. Mit solchen Scans sondieren Hacker die Infrastruktur ihrer Opfer, um Schwachstellen zu finden. Entsprechende Spuren im Netzwerkverkehr können Unternehmen auf die Spur der Angreifer bringen.
Codeless Connectors: Eine Protokollierung von Event-Logs sollte möglichst alle Aktivitäten in einem Firmennetz miteinbeziehen. Anwender sollen dafür künftig Code-freie Konnektoren verwenden können, mit denen die Protokollierung auch auf Software-as-a-Service-Plattformen (SaaS) ausgeweitet werden kann. Gerade in hybrid ausgerichteten IT-Infrastrukturen aus On-premises- und Cloud-Bestandteilen sind Tools, die diese Informationen in die Protokollierung einfließen lassen, der Schlüssel zu einem besseren Überblick.
OMB-Vorgaben für Ereignisprotokolle: Gerade für Behörden gibt es teilweise strenge Regularien, was die Sicherheit ihrer Systeme anbelangt. Das das Office of Management and Budget (OMB) in den USA bietet ein Reifegradmodell für das Management von Event-Protokollen. Die Behörden werden in vier Protokollierungsstufen eingeordnet: von EL0 bis EL3. Werden die Anforderungen an die Protokollierung von der Behörde schlecht erfüllt, erhält sie eine Einstufung von EL0 oder "nicht effektiv". Ziel ist es, bis auf EL3 aufzusteigen, um die Protokollierungsanforderungen auf allen Kritikalitätsstufen zu erfüllen. Solche regulatorischen Anforderungen will Microsoft künftig stärker in Sentinel integrieren.
SentinelHealth: Die SentinelHealth-Datentabelle soll Anwendern dabei helfen, die Zustände von Konnektoren zu überwachen. Unternehmen erhalten bessere Einblicke in Zustandsveränderungen, wie zum Beispiel die letzten Ausfallereignisse pro Konnektor oder Konnektoren mit einem Wechsel vom Erfolgs- zum Ausfallstatus.
Unterstützung für MSSPs: Managed Security Service Providers (MSSPs) müssen mehr als eine Aktivität überwachen. Sentinel ermöglicht mehrere Workspace-Ansichten, so dass ein MSSP mehrere Workspaces gleichzeitig überprüfen kann, sogar über verschiedene Mandanten hinweg.
KQL-Unterstützung: Die kommende Sentinel-Version enthält die interaktive Arbeitsmappe Advanced KQL for Microsoft Sentinel. Anwender sollen damit ihre Kenntnisse der Kusto Query Language verbessern können, indem sie einen stärker anwendungsbezogenen Ansatz verfolgen. (ba)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.