gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-01-08 19:30:51 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/az-services/az-defender

Browse Source
This commit is contained in:
Translator
2025-03-21 09:32:15 +00:00
parent a40ab2694b
commit 7b8375088a
3 changed files with 183 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

37
src/pentesting-cloud/azure-security/az-services/az-defender.md Normal file
View File

@@ -0,0 +1,37 @@
# Az - Defender
{{#include ../../../banners/hacktricks-training.md}}
## Microsoft Defender für Cloud
Microsoft Defender für Cloud ist eine umfassende Sicherheitsmanagementlösung, die Azure, lokale und Multi-Cloud-Umgebungen abdeckt. Es wird als Cloud-Native Application Protection Platform (CNAPP) kategorisiert, die Cloud Security Posture Management (CSPM) und Cloud Workload Protection (CWPP) Fähigkeiten kombiniert. Ziel ist es, Organisationen dabei zu helfen, **Fehlkonfigurationen und Schwachstellen in Cloud-Ressourcen** zu finden, die allgemeine Sicherheitslage zu stärken und Workloads vor sich entwickelnden Bedrohungen in Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP), hybriden lokalen Setups und mehr zu schützen.
In praktischen Begriffen **bewertet Defender für Cloud kontinuierlich Ihre Ressourcen anhand von Sicherheitsbest Practices und Standards**, bietet ein einheitliches Dashboard für die Sichtbarkeit und nutzt fortschrittliche Bedrohungserkennung, um Sie über Angriffe zu informieren. Zu den wichtigsten Vorteilen gehören eine **einheitliche Sicht auf die Sicherheit über Clouds hinweg**, umsetzbare Empfehlungen zur Verhinderung von Sicherheitsvorfällen und integrierter Bedrohungsschutz, der das Risiko von Sicherheitsvorfällen reduzieren kann. Durch die native Unterstützung von AWS und GCP sowie die Nutzung von Azure Arc für lokale Server stellt es sicher, dass Sie **Sicherheit an einem Ort** für alle Umgebungen verwalten können.
### Hauptmerkmale
- **Empfehlungen**: Dieser Abschnitt präsentiert eine Liste umsetzbarer Sicherheitsempfehlungen basierend auf kontinuierlichen Bewertungen. Jede Empfehlung erklärt identifizierte Fehlkonfigurationen oder Schwachstellen und bietet Schritte zur Behebung, sodass Sie genau wissen, was zu beheben ist, um Ihre Sicherheitsbewertung zu verbessern.
- **Angriffsweg-Analyse**: Die Angriffsweg-Analyse visualisiert potenzielle Angriffswege über Ihre Cloud-Ressourcen. Indem sie zeigt, wie Schwachstellen verbunden sind und ausgenutzt werden könnten, hilft sie Ihnen, diese Wege zu verstehen und zu unterbrechen, um Sicherheitsvorfälle zu verhindern.
- **Sicherheitswarnungen**: Die Seite für Sicherheitswarnungen informiert Sie über Echtzeitbedrohungen und verdächtige Aktivitäten. Jede Warnung enthält Details wie Schweregrad, betroffene Ressourcen und empfohlene Maßnahmen, sodass Sie schnell auf auftretende Probleme reagieren können.
- Die Erkennungstechniken basieren auf **Bedrohungsintelligenz, Verhaltensanalytik und Anomalieerkennung**.
- Es ist möglich, alle möglichen Warnungen unter https://learn.microsoft.com/en-us/azure/defender-for-cloud/alerts-reference zu finden. Basierend auf dem Namen und der Beschreibung ist es möglich zu wissen, **wonach die Warnung sucht** (um sie zu umgehen).
- **Inventar**: Im Inventarbereich finden Sie eine umfassende Liste aller überwachten Assets in Ihren Umgebungen. Es bietet einen Überblick über den Sicherheitsstatus jeder Ressource, sodass Sie schnell ungeschützte oder riskante Assets erkennen können, die einer Behebung bedürfen.
- **Cloud Security Explorer**: Cloud Security Explorer bietet eine abfragebasierte Schnittstelle, um Ihre Cloud-Umgebung zu durchsuchen und zu analysieren. Es ermöglicht Ihnen, versteckte Sicherheitsrisiken aufzudecken und komplexe Beziehungen zwischen Ressourcen zu erkunden, wodurch Ihre gesamten Bedrohungserkennungsfähigkeiten verbessert werden.
- **Workbooks**: Workbooks sind interaktive Berichte, die Ihre Sicherheitsdaten visualisieren. Mit vorgefertigten oder benutzerdefinierten Vorlagen helfen sie Ihnen, Trends zu überwachen, die Einhaltung zu verfolgen und Änderungen in Ihrer Sicherheitsbewertung im Laufe der Zeit zu überprüfen, was datengestützte Sicherheitsentscheidungen erleichtert.
- **Gemeinschaft**: Der Bereich Gemeinschaft verbindet Sie mit Gleichgesinnten, Expertenforen und Best-Practice-Leitfäden. Es ist eine wertvolle Ressource, um aus den Erfahrungen anderer zu lernen, Tipps zur Fehlersuche zu finden und über die neuesten Entwicklungen von Defender für Cloud informiert zu bleiben.
- **Diagnose und Problemlösung**: Dieses Troubleshooting-Zentrum hilft Ihnen, Probleme im Zusammenhang mit der Konfiguration oder Datensammlung von Defender für Cloud schnell zu identifizieren und zu beheben. Es bietet geführte Diagnosen und Lösungen, um sicherzustellen, dass die Plattform effektiv funktioniert.
- **Sicherheitslage**: Die Seite zur Sicherheitslage aggregiert Ihren gesamten Sicherheitsstatus in eine einzige Sicherheitsbewertung. Sie bietet Einblicke, in welchen Bereichen Ihre Cloud stark ist und wo Verbesserungen erforderlich sind, und dient als schneller Gesundheitscheck Ihrer Umgebung.
- **Regulatorische Compliance**: Dieses Dashboard bewertet, wie gut Ihre Ressourcen den Branchenstandards und regulatorischen Anforderungen entsprechen. Es zeigt Compliance-Werte im Vergleich zu Benchmarks wie PCI DSS oder ISO 27001, sodass Sie Lücken identifizieren und die Behebung für Audits verfolgen können.
- **Workload-Schutz**: Workload-Schutz konzentriert sich auf die Sicherung spezifischer Ressourcentypen (wie Server, Datenbanken und Container). Es zeigt an, welche Defender-Pläne aktiv sind, und bietet maßgeschneiderte Warnungen und Empfehlungen für jede Workload, um deren Schutz zu verbessern. Es kann böswillige Verhaltensweisen in spezifischen Ressourcen erkennen.
- Dies ist auch die Option **`Microsoft Defender für X aktivieren`**, die Sie in bestimmten Diensten finden können.
- **Daten- und KI-Sicherheit (Vorschau)**: In diesem Vorschauabschnitt erweitert Defender für Cloud seinen Schutz auf Datenspeicher und KI-Dienste. Es hebt Sicherheitslücken hervor und überwacht sensible Daten, um sicherzustellen, dass sowohl Ihre Datenbanken als auch Ihre KI-Plattformen vor Bedrohungen geschützt sind.
- **Firewall-Manager**: Der Firewall-Manager integriert sich mit Azure Firewall, um Ihnen eine zentrale Ansicht Ihrer Netzwerksicherheitsrichtlinien zu bieten. Er vereinfacht die Verwaltung und Überwachung von Firewall-Bereitstellungen und stellt sicher, dass Sicherheitsregeln konsistent auf Ihre virtuellen Netzwerke angewendet werden.
- **DevOps-Sicherheit**: DevOps-Sicherheit integriert sich in Ihre Entwicklungspipelines und Code-Repositories, um Sicherheit frühzeitig im Software-Lebenszyklus zu verankern. Es hilft, Schwachstellen im Code und in Konfigurationen zu identifizieren, um sicherzustellen, dass Sicherheit in den Entwicklungsprozess eingebaut wird.
## Microsoft Defender EASM
Microsoft Defender External Attack Surface Management (EASM) scannt und kartiert kontinuierlich die internetexponierten Assets Ihrer Organisation einschließlich Domains, Subdomains, IP-Adressen und Webanwendungen um eine umfassende, Echtzeitansicht Ihres externen digitalen Fußabdrucks zu bieten. Es nutzt fortschrittliche Crawling-Techniken, die von bekannten Entdeckungsquellen ausgehen, um sowohl verwaltete als auch Schatten-IT-Assets automatisch aufzudecken, die sonst möglicherweise verborgen bleiben würden. EASM identifiziert **riskante Konfigurationen** wie exponierte Verwaltungsoberflächen, öffentlich zugängliche Speicher-Buckets und Dienste, die anfällig für verschiedene CVEs sind, sodass Ihr Sicherheitsteam diese Probleme angehen kann, bevor sie ausgenutzt werden.
Darüber hinaus kann die kontinuierliche Überwachung auch **Änderungen in der exponierten Infrastruktur** zeigen, indem verschiedene Scan-Ergebnisse verglichen werden, sodass der Administrator über jede durchgeführte Änderung informiert ist.
Durch die Bereitstellung von Echtzeiteinblicken und detaillierten Asset-Inventaren befähigt Defender EASM Organisationen, **kontinuierlich ihre externe Exposition zu überwachen und Änderungen zu verfolgen**. Es verwendet risikobasierte Analysen, um Ergebnisse basierend auf Schweregrad und kontextuellen Faktoren zu priorisieren, sodass die Behebungsmaßnahmen dort konzentriert werden, wo sie am wichtigsten sind. Dieser proaktive Ansatz hilft nicht nur, versteckte Schwachstellen aufzudecken, sondern unterstützt auch die kontinuierliche Verbesserung Ihrer gesamten Sicherheitslage, indem er Sie auf neue Expositionen hinweist, sobald sie auftreten.
{{#include ../../../banners/hacktricks-training.md}}

104
src/pentesting-cloud/azure-security/az-services/az-monitoring.md Normal file
View File

@@ -0,0 +1,104 @@
# Az - Monitoring
{{#include ../../../banners/hacktricks-training.md}}
## Entra ID - Protokolle
Es gibt 3 Arten von Protokollen in Entra ID:
- **Anmeldeprotokolle**: Anmeldeprotokolle dokumentieren jeden Authentifizierungsversuch, unabhängig davon, ob er erfolgreich oder fehlgeschlagen ist. Sie bieten Details wie IP-Adressen, Standorte, Geräteinformationen und angewandte bedingte Zugriffsrichtlinien, die für die Überwachung der Benutzeraktivität und die Erkennung verdächtiger Anmeldeverhalten oder potenzieller Sicherheitsbedrohungen unerlässlich sind.
- **Audit-Protokolle**: Audit-Protokolle bieten einen Nachweis über alle Änderungen, die in Ihrer Entra ID-Umgebung vorgenommen wurden. Sie erfassen beispielsweise Aktualisierungen von Benutzern, Gruppen, Rollen oder Richtlinien. Diese Protokolle sind entscheidend für Compliance- und Sicherheitsuntersuchungen, da sie es Ihnen ermöglichen, zu überprüfen, wer welche Änderung wann vorgenommen hat.
- **Bereitstellungsprotokolle**: Bereitstellungsprotokolle bieten Informationen über Benutzer, die über einen Drittanbieterdienst (wie lokale Verzeichnisse oder SaaS-Anwendungen) in Ihrem Mandanten bereitgestellt wurden. Diese Protokolle helfen Ihnen zu verstehen, wie Identitätsinformationen synchronisiert werden.
> [!WARNING]
> Beachten Sie, dass diese Protokolle in der kostenlosen Version nur **7 Tage**, in der P1/P2-Version **30 Tage** und 60 zusätzliche Tage in Sicherheitsmeldungen für riskante Anmeldeaktivitäten gespeichert werden. Selbst ein globaler Administrator könnte sie jedoch nicht **früher ändern oder löschen**.
## Entra ID - Protokollsysteme
- **Diagnostikeinstellungen**: Eine Diagnostikeinstellung gibt eine Liste von Kategorien von Plattformprotokollen und/oder Metriken an, die Sie von einer Ressource sammeln möchten, sowie ein oder mehrere Ziele, an die Sie diese streamen möchten. Es fallen normale Nutzungskosten für das Ziel an. Erfahren Sie mehr über die verschiedenen Protokollkategorien und deren Inhalte.
- **Ziele**:
- **Analytics-Arbeitsbereich**: Untersuchung über Azure Log Analytics und Erstellung von Warnungen.
- **Speicherkonto**: Statische Analyse und Backup.
- **Event-Hub**: Daten an externe Systeme wie Drittanbieter-SIEMs streamen.
- **Überwachungspartnerlösungen**: Besondere Integrationen zwischen Azure Monitor und anderen Nicht-Microsoft-Überwachungsplattformen.
- **Workbooks**: Workbooks kombinieren Text, Protokollabfragen, Metriken und Parameter in reichhaltigen interaktiven Berichten.
- **Nutzung & Einblicke**: Nützlich, um die häufigsten Aktivitäten in Entra ID zu sehen.
## Azure Monitor
Dies sind die Hauptmerkmale von Azure Monitor:
- **Aktivitätsprotokolle**: Azure Aktivitätsprotokolle erfassen Ereignisse und Verwaltungsoperationen auf Abonnementebene und geben Ihnen einen Überblick über Änderungen und Aktionen, die an Ihren Ressourcen vorgenommen wurden.
- **Aktivitätsprotokolle** können nicht geändert oder gelöscht werden.
- **Änderungsanalyse**: Die Änderungsanalyse erkennt und visualisiert automatisch Konfigurations- und Statusänderungen in Ihren Azure-Ressourcen, um Probleme zu diagnostizieren und Änderungen im Laufe der Zeit nachzuverfolgen.
- **Warnungen**: Warnungen von Azure Monitor sind automatisierte Benachrichtigungen, die ausgelöst werden, wenn bestimmte Bedingungen oder Schwellenwerte in Ihrer Azure-Umgebung erfüllt sind.
- **Workbooks**: Workbooks sind interaktive, anpassbare Dashboards innerhalb von Azure Monitor, die es Ihnen ermöglichen, Daten aus verschiedenen Quellen zu kombinieren und zu visualisieren, um eine umfassende Analyse durchzuführen.
- **Ermittler**: Der Ermittler hilft Ihnen, in Protokolldaten und Warnungen einzutauchen, um tiefgehende Analysen durchzuführen und die Ursache von Vorfällen zu identifizieren.
- **Einblicke**: Einblicke bieten Analysen, Leistungsmetriken und umsetzbare Empfehlungen (wie die in Application Insights oder VM Insights), um Ihnen zu helfen, die Gesundheit und Effizienz Ihrer Anwendungen und Infrastruktur zu überwachen und zu optimieren.
### Log Analytics-Arbeitsbereiche
Log Analytics-Arbeitsbereiche sind zentrale Repositories in Azure Monitor, in denen Sie **Protokoll- und Leistungsdaten** von Ihren Azure-Ressourcen und lokalen Umgebungen **sammeln, analysieren und visualisieren** können. Hier sind die wichtigsten Punkte:
- **Zentralisierte Datenspeicherung**: Sie dienen als zentraler Ort zur Speicherung von Diagnoseloggen, Leistungsmetriken und benutzerdefinierten Protokollen, die von Ihren Anwendungen und Diensten generiert werden.
- **Leistungsstarke Abfragefähigkeiten**: Sie können Abfragen mit der Kusto Query Language (KQL) ausführen, um die Daten zu analysieren, Einblicke zu generieren und Probleme zu beheben.
- **Integration mit Überwachungstools**: Log Analytics-Arbeitsbereiche integrieren sich mit verschiedenen Azure-Diensten (wie Azure Monitor, Azure Sentinel und Application Insights), sodass Sie Dashboards erstellen, Warnungen einrichten und einen umfassenden Überblick über Ihre Umgebung erhalten können.
Zusammenfassend ist ein Log Analytics-Arbeitsbereich für fortgeschrittene Überwachung, Fehlersuche und Sicherheitsanalysen in Azure unerlässlich.
Sie können eine Ressource so konfigurieren, dass sie Daten an einen Analytics-Arbeitsbereich aus den **Diagnostikeinstellungen** der Ressource sendet.
## Enumeration
### Entra ID
```bash
# Get last 10 sign-ins
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/signIns?$top=10'
# Get last 10 audit logs
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?$top=10'
# Get last 10 provisioning logs
az rest --method get --uri https://graph.microsoft.com/v1.0/auditLogs/provisioning?$top=10
# Get EntraID Diagnostic Settings
az rest --method get --uri "https://management.azure.com/providers/microsoft.aadiam/diagnosticSettings?api-version=2017-04-01-preview"
# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"subscriptions": ["9291ff6e-6afb-430e-82a4-6f04b2d05c7f"],
"query": "where type =~ \"microsoft.insights/workbooks\" \n| extend sourceId = tostring(properties.sourceId) \n| where sourceId =~ \"Azure Active Directory\" \n| extend DisplayName = tostring(properties.displayName) \n| extend WorkbookType = tostring(properties.category), LastUpdate = todatetime(properties.timeModified) \n| where WorkbookType == \"workbook\"\n| project DisplayName, name, resourceGroup, kind, location, id, type, subscriptionId, tags, WorkbookType, LastUpdate, identity, properties",
"options": {"resultFormat": "table"},
"name": "e4774363-5160-4c09-9d71-2da6c8e3b00a"
}' | jq '.data.rows'
```
### Azure Monitor
```bash
# Get last 10 activity logs
az monitor activity-log list --max-events 10
# Get Resource Diagnostic Settings
az rest --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.DocumentDb/databaseAccounts/<db-name>/providers/microsoft.insights/diagnosticSettings?api-version=2021-05-01-preview"
# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"content": {},
"commandName": "AppInsightsExtension.GetWorkbooksListArg"
}'
# List Log Analytic groups
az monitor log-analytics workspace list --output table
# List alerts
az monitor metrics alert list --output table
az monitor activity-log alert list --output table
```
{{#include ../../../banners/hacktricks-training.md}}

42
src/pentesting-cloud/azure-security/az-services/az-sentinel.md Normal file
View File

@@ -0,0 +1,42 @@
# Az - Defender
{{#include ../../../banners/hacktricks-training.md}}
## Microsoft Sentinel
Microsoft Sentinel ist eine cloud-native **SIEM** (Security Information and Event Management) und **SOAR** (Security Orchestration, Automation, and Response) Lösung auf Azure.
Es aggregiert Sicherheitsdaten aus einer Organisation (vor Ort und in der Cloud) in einer einzigen Plattform und nutzt **eingebaute Analysen und Bedrohungsinformationen**, um potenzielle Bedrohungen zu identifizieren.
Sentinel nutzt Azure-Dienste wie Log Analytics (für massive Protokollspeicherung und Abfragen) und Logic Apps (für automatisierte Workflows) das bedeutet, es kann nach Bedarf skalieren und sich mit den KI- und Automatisierungsfähigkeiten von Azure integrieren.
Im Wesentlichen sammelt und analysiert Sentinel Protokolle aus verschiedenen Quellen, **erkennt Anomalien oder böswillige Aktivitäten** und ermöglicht es Sicherheitsteams, Bedrohungen schnell zu untersuchen und darauf zu reagieren, alles über das Azure-Portal, ohne dass eine lokale SIEM-Infrastruktur erforderlich ist.
### Microsoft Sentinel Konfiguration
Sie beginnen, indem Sie Sentinel in einem Azure Log Analytics-Arbeitsbereich aktivieren (der Arbeitsbereich ist der Ort, an dem Protokolle gespeichert und analysiert werden). Im Folgenden sind die grundlegenden Schritte aufgeführt, um zu beginnen:
1. **Microsoft Sentinel in einem Arbeitsbereich aktivieren**: Erstellen Sie im Azure-Portal einen neuen Log Analytics-Arbeitsbereich oder verwenden Sie einen vorhandenen und fügen Sie Microsoft Sentinel hinzu. Dies implementiert die Funktionen von Sentinel in Ihrem Arbeitsbereich.
2. **Datenquellen verbinden (Datenconnectoren)**: Sobald Sentinel aktiviert ist, verbinden Sie Ihre Datenquellen mit den integrierten Datenconnectoren. Egal, ob es sich um Entra ID-Protokolle, Office 365 oder sogar Firewall-Protokolle handelt, Sentinel beginnt automatisch mit dem Import von Protokollen und Warnungen. Dies geschieht üblicherweise durch das Erstellen von Diagnostikeinstellungen, um Protokolle in den verwendeten Protokollarbeitsbereich zu senden.
3. **Analyseregeln und Inhalte anwenden**: Mit den eingehenden Daten aktivieren Sie integrierte Analyseregeln oder erstellen benutzerdefinierte, um Bedrohungen zu erkennen. Nutzen Sie das Content Hub für vorverpackte Regelvorlagen und Arbeitsmappen, die Ihre Erkennungsfähigkeiten ankurbeln.
4. **(Optional) Automatisierung konfigurieren**: Richten Sie Automatisierung mit Playbooks ein, um automatisch auf Vorfälle zu reagieren wie das Senden von Warnungen oder das Isolieren kompromittierter Konten und verbessern Sie Ihre gesamte Reaktion.
## Hauptmerkmale
- **Protokolle**: Die Protokollkachel öffnet die Abfrageoberfläche von Log Analytics, wo Sie **tief in Ihre Daten mit der Kusto Query Language (KQL)** eintauchen können. Dieser Bereich ist entscheidend für Fehlersuche, forensische Analysen und benutzerdefinierte Berichterstattung. Sie können Abfragen schreiben und ausführen, um Protokollereignisse zu filtern, Daten aus verschiedenen Quellen zu korrelieren und sogar benutzerdefinierte Dashboards oder Warnungen basierend auf Ihren Erkenntnissen zu erstellen. Es ist das Zentrum für die Rohdatenexploration von Sentinel.
- **Suche**: Das Suchwerkzeug bietet eine einheitliche Oberfläche, um **schnell Sicherheitsereignisse, Vorfälle und sogar spezifische Protokolleinträge zu finden**. Anstatt manuell durch mehrere Kacheln zu navigieren, können Sie Schlüsselwörter, IP-Adressen oder Benutzernamen eingeben, um sofort alle verwandten Ereignisse anzuzeigen. Diese Funktion ist besonders nützlich während einer Untersuchung, wenn Sie schnell verschiedene Informationsstücke verbinden müssen.
- **Vorfälle**: Der Abschnitt Vorfälle zentralisiert alle **gruppierten Warnungen in verwaltbare Fälle**. Sentinel aggregiert verwandte Warnungen in einen einzigen Vorfall und bietet Kontext wie Schweregrad, Zeitlinie und betroffene Ressourcen. Innerhalb eines Vorfalls können Sie ein detailliertes Untersuchungsdiagramm anzeigen, das die Beziehung zwischen Warnungen darstellt, was es einfacher macht, den Umfang und die Auswirkungen einer potenziellen Bedrohung zu verstehen. Das Vorfallmanagement umfasst auch Optionen zum Zuweisen von Aufgaben, Aktualisieren von Status und Integrieren in Reaktions-Workflows.
- **Arbeitsmappen**: Arbeitsmappen sind anpassbare Dashboards und Berichte, die Ihnen helfen, **Ihre Sicherheitsdaten zu visualisieren und zu analysieren**. Sie kombinieren verschiedene Diagramme, Tabellen und Abfragen, um einen umfassenden Überblick über Trends und Muster zu bieten. Beispielsweise könnten Sie eine Arbeitsmappe verwenden, um eine Zeitachse von Anmeldeaktivitäten, geografische Karten von IP-Adressen oder die Häufigkeit spezifischer Warnungen im Laufe der Zeit anzuzeigen. Arbeitsmappen sind sowohl vorgefertigt als auch vollständig anpassbar, um den spezifischen Überwachungsbedürfnissen Ihrer Organisation gerecht zu werden.
- **Hunting**: Die Hunting-Funktion bietet einen proaktiven Ansatz zur **Identifizierung von Bedrohungen, die möglicherweise keine Standardwarnungen ausgelöst haben**. Sie kommt mit vorgefertigten Hunting-Abfragen, die mit Frameworks wie MITRE ATT&CK übereinstimmen, ermöglicht es Ihnen jedoch auch, benutzerdefinierte Abfragen zu schreiben. Dieses Tool ist ideal für **fortgeschrittene Analysten, die nach versteckten oder aufkommenden Bedrohungen suchen**, indem sie historische und Echtzeitdaten erkunden, wie ungewöhnliche Netzwerk Muster oder anomales Benutzerverhalten.
- **Notebooks**: Mit der Notebooks-Integration nutzt Sentinel **Jupyter Notebooks für fortgeschrittene Datenanalysen und automatisierte Untersuchungen**. Diese Funktion ermöglicht es Ihnen, Python-Code direkt gegen Ihre Sentinel-Daten auszuführen, was es möglich macht, maschinelles Lernen Analysen durchzuführen, benutzerdefinierte Visualisierungen zu erstellen oder komplexe Untersuchungsaufgaben zu automatisieren. Es ist besonders nützlich für Datenwissenschaftler oder Sicherheitsanalysten, die tiefere Analysen über Standardabfragen hinaus durchführen müssen.
- **Entitätsverhalten**: Die Seite Entitätsverhalten verwendet **User and Entity Behavior Analytics (UEBA)**, um Baselines für normales Verhalten in Ihrer Umgebung zu etablieren. Sie zeigt detaillierte Profile für Benutzer, Geräte und IP-Adressen an und **hebt Abweichungen vom typischen Verhalten hervor**. Wenn beispielsweise ein normalerweise inaktives Konto plötzlich hohe Datenübertragungen aufweist, wird diese Abweichung markiert. Dieses Tool ist entscheidend für die Identifizierung von Insider-Bedrohungen oder kompromittierten Anmeldeinformationen basierend auf Verhaltensanomalien.
- **Bedrohungsinformationen**: Der Abschnitt Bedrohungsinformationen ermöglicht es Ihnen, **externe Bedrohungsindikatoren zu verwalten und zu korrelieren** wie bösartige IP-Adressen, URLs oder Dateihashes mit Ihren internen Daten. Durch die Integration mit externen Bedrohungsfeeds kann Sentinel automatisch Ereignisse kennzeichnen, die bekannten Bedrohungen entsprechen. Dies hilft Ihnen, Angriffe, die Teil breiterer, bekannter Kampagnen sind, schnell zu erkennen und darauf zu reagieren, und fügt eine weitere Kontextschicht zu Ihren Sicherheitswarnungen hinzu.
- **MITRE ATT&CK**: In der MITRE ATT&CK-Kachel **ordnet Sentinel Ihre Sicherheitsdaten und Erkennungsregeln dem weithin anerkannten MITRE ATT&CK-Framework zu**. Diese Ansicht hilft Ihnen zu verstehen, welche Taktiken und Techniken in Ihrer Umgebung beobachtet werden, potenzielle Lücken in der Abdeckung zu identifizieren und Ihre Erkennungsstrategie mit anerkannten Angriffsmustern in Einklang zu bringen. Es bietet eine strukturierte Möglichkeit, zu analysieren, wie Angreifer Ihre Umgebung angreifen könnten, und hilft bei der Priorisierung defensiver Maßnahmen.
- **Content Hub**: Der Content Hub ist ein zentrales Repository für **vorverpackte Lösungen, einschließlich Datenconnectoren, Analyseregeln, Arbeitsmappen und Playbooks**. Diese Lösungen sind darauf ausgelegt, Ihre Bereitstellung zu beschleunigen und Ihre Sicherheitslage zu verbessern, indem sie Best-Practice-Konfigurationen für gängige Dienste (wie Office 365, Entra ID usw.) bereitstellen. Sie können diese Inhalts-Pakete durchsuchen, installieren und aktualisieren, was es einfacher macht, neue Technologien in Sentinel zu integrieren, ohne umfangreiche manuelle Einrichtung.
- **Repositories**: Die Repositories-Funktion (derzeit in der Vorschau) ermöglicht die Versionskontrolle für Ihre Sentinel-Inhalte. Sie integriert sich mit Quellkontrollsystemen wie GitHub oder Azure DevOps und ermöglicht es Ihnen, **Ihre Analyseregeln, Arbeitsmappen, Playbooks und andere Konfigurationen als Code zu verwalten**. Dieser Ansatz verbessert nicht nur das Änderungsmanagement und die Zusammenarbeit, sondern erleichtert auch das Zurücksetzen auf frühere Versionen, falls erforderlich.
- **Arbeitsbereichsverwaltung**: Der Arbeitsbereichsmanager von Microsoft Sentinel ermöglicht es Benutzern, **mehrere Microsoft Sentinel-Arbeitsbereiche zentral zu verwalten** innerhalb eines oder mehrerer Azure-Mandanten. Der zentrale Arbeitsbereich (mit aktiviertem Arbeitsbereichsmanager) kann Inhalte konsolidieren, die in großem Maßstab an Mitgliedsarbeitsbereiche veröffentlicht werden sollen.
- **Datenconnectoren**: Die Seite Datenconnectoren listet alle verfügbaren Connectoren auf, die Daten in Sentinel bringen. Jeder Connector ist **vorkonfiguriert für spezifische Datenquellen** (sowohl Microsoft- als auch Drittanbieter) und zeigt seinen Verbindungsstatus an. Die Einrichtung eines Datenconnectors erfolgt in der Regel mit wenigen Klicks, wonach Sentinel beginnt, Protokolle aus dieser Quelle zu importieren und zu analysieren. Dieser Bereich ist entscheidend, da die Qualität und Breite Ihrer Sicherheitsüberwachung von der Reichweite und Konfiguration Ihrer verbundenen Datenquellen abhängt.
- **Analysen**: In der Analyse-Kachel **erstellen und verwalten Sie die Erkennungsregeln, die die Warnungen von Sentinel steuern**. Diese Regeln sind im Wesentlichen Abfragen, die nach einem Zeitplan (oder nahezu in Echtzeit) ausgeführt werden, um verdächtige Muster oder Schwellenwertüberschreitungen in Ihren Protokolldaten zu identifizieren. Sie können aus von Microsoft bereitgestellten Vorlagen wählen oder Ihre eigenen benutzerdefinierten Regeln mit KQL erstellen. Analyseregeln bestimmen, wie und wann Warnungen generiert werden, was sich direkt auf die Bildung und Priorisierung von Vorfällen auswirkt.
- **Watchlist**: Die Watchlist von Microsoft Sentinel ermöglicht die **Sammlung von Daten aus externen Datenquellen zur Korrelation mit den Ereignissen** in Ihrer Microsoft Sentinel-Umgebung. Nach der Erstellung können Sie Watchlists in Ihrer Suche, Erkennungsregeln, Bedrohungssuche, Arbeitsmappen und Reaktions-Playbooks nutzen.
- **Automatisierung**: Automatisierungsregeln ermöglichen es Ihnen, **alle Automatisierungen der Vorfallbearbeitung zentral zu verwalten**. Automatisierungsregeln optimieren die Nutzung von Automatisierung in Microsoft Sentinel und ermöglichen es Ihnen, komplexe Workflows für Ihre Vorfallorchestrierungsprozesse zu vereinfachen.
{{#include ../../../banners/hacktricks-training.md}}