Microsoft 365 Threat Intelligence verstehen und produktiv nutzen (3)
Mit Microsoft 365 Threat Intelligence können Administratoren auf Funktionen aus der Microsoft-Cloud setzen, um Angriffe zu erkennen und zu bekämpfen. Bei Threat Intelligence handelt es sich per Definition um evidenzbasiertes Wissen, das Kontext, Mechanismen, Indikatoren, Implikationen und weitere Daten erfasst. Auf Basis dieser Daten lassen sich Vorgehensweisen erarbeiten, mit denen sich Attacken auf Netzwerke und Clouddienste verhindern lassen. Im dritten und letzten Teil der Serie schildern wir, wie Sie proaktiv nach Bedrohungen suchen und automatisierte Prozesse zur Gefahrenabwehr planen.
Automatisch reagieren
Mit Automated Investigation and Response (AIR) lassen sich automatisierte Prozesse und Reaktionen auf Bedrohungen planen. Diese Funktion in Microsoft 365 Threat Intelligence hilft Sicherheitsteams dabei, effektiver auf Angriffe zu reagieren. Dazu setzt AIR auf Security-Playbooks, die starten, wenn bestimmte Warnungen ausgelöst werden. Über diese Playbooks kann AIR auch automatische Untersuchungen ausführen und auswerten.
Security-Playbooks sind Backend-Richtlinien, die die Automatisierung in Microsoft Threat Protection darstellen. Die in AIR bereitgestellten Playbooks basieren auf realen Sicherheitsszenarien. Erkennt AIR eine Warnung, löst das System automatisch ein passendes Playbook aus. Das Playbook führt eine Untersuchung durch und prüft alle zugehörigen Metadaten. Dazu gehören auch E-Mail-Nachrichten, Benutzer, Betreffs, Absender und weitere Informationen, die für die Untersuchung eine Rolle spielen. AIR empfiehlt auf Basis der Playbooks verschiedene Maßnahmen, die das Sicherheitsteam eines Unternehmens ergreifen kann, um die Bedrohung zu kontrollieren und zu entschärfen.
Die mit AIR bereitgestellten Sicherheits-Playbooks sind auf die häufigsten Bedrohungen ausgerichtet, denen Unternehmen ausgesetzt sind. Sie basieren auf dem Input von Security-Operations- und Incident-Response-Teams – einschließlich der Teams, die Microsoft und seine Kunden bei der Verteidigung ihrer Ressourcen unterstützen. Die einzelnen Maßnahmen werden protokolliert und sind daher nachvollziehbar. Dabei führt AIR nur Aktionen durch, die von Sicherheitsteams auch genehmigt werden.
Eine wichtige Basis für AIR sind die Warnungen (Alerts). Diese dienen als Auslöser für Aktionen für Sicherheitsteams und auch für Microsoft 365 Defender sowie für andere Funktionen für mehr Sicherheit in Microsoft 365. Auf Basis von Warnungen, die in Microsoft 365 Threat Intelligence auftreten, können sich automatische und manuelle Maßnahmen ableiten. Die Warnungen stellen darüber hinaus sicher, dass alle Sicherheitsvorfälle im Unternehmen untersucht und behandelt werden. Oft ignorieren Unternehmen einzelne Sicherheitsvorfälle, weil sie vermeintlich nicht gefährlich sind. Mit AIR können Sie in Microsoft 365 Threat Intelligence auf jede einzelne Warnung reagieren, diese erfassen, analysieren und sich darauf vorbereiten.
Proaktiv nach Bedrohungen suchen
Die Bedrohungssuche (Threat Hunting) ist ein wesentlicher Bestandteil von Micro-soft 365 Threat Intelligence. Dabei handelt es sich um eine proaktive Maßnahme, mit der Admins Angriffen schnell auf die Spur kommen können. Threat Hunting hat besonders komplexe oder raffinierte Angriffsmethoden im Fokus, die den meisten IT-Verantwortlichen nicht schnell auffallen. Für diese Funktionen kommt meist Microsoft 365 Defender zum Einsatz.
Zu den Technologien gehören zum Beispiel verhaltensbasierte Erkennungsalgorithmen, die auf maschinellem Lernen und KI basieren. Diese können schnell reagieren, doch allein auch kein Netzwerk schützen. Vielmehr sind die gelieferten Informationen nur als Ergänzung gedacht. Threat Hunting kann dabei Bedrohungen aufspüren, die entweder unter einer großen Menge von Warnungen verborgen sind oder von Sicherheitsprodukten nicht erkannt werden. Die Funktion nutzt dazu alle Daten, die in Microsoft 365 Threat Intelligence zur Verfügung stehen, und lässt sich auf die spezifischen Anforderungen eines Netzwerks anpassen.
So erfahren Sie als Admin beispielsweise von einer neuen Sicherheitslücke, die eine der Anwendungen in der Umgebung betrifft. In Microsoft 365 Threat Intelligence können Sie nun eine Abfrage für Verhaltensweisen erstellen, die mit den an dieser Schwachstelle beteiligten Prozessen verbunden ist. Die Abfrage ermittelt eine bestehende Baseline und das normale Verhalten beim Umgang mit der Anwendung. Danach ändern Sie die vorhandenen Abfragen so ab, dass diese nur das zurückgeben, was unüblich ist. Danach können Sie eine Regel erstellen, die regelmäßige Abfragen ausführt und Benachrichtigungen an das Sicherheitsteam sendet, wenn unübliches Verhalten beim Umgang mit der Anwendung festgestellt wird.
Fazit
Microsoft 365 Threat Intelligence, Microsoft 365 Defender und Microsoft Defender für Endpunkte arbeiten eng zusammen und können die Sicherheit in Microsoft 365, Azure und lokalen Netzwerken signifikant verbessern – auch dank KI-Technologien. Für den umfassenden Einsatz der drei Microsoft-365-Produkte Threat Intelligence, Defender und Microsoft Defender für Endpunkte sind spezielle Lizenzen notwendig. Es ist aber IT-Verantwortlichen möglich, die Produkte separat zu buchen.
ln/dr/Thomas Joos
Im ersten Teil der Workshopserie haben wir die Grundlagen des Bedrohungsmanagements erklärt und was es mit dem Intelligent Security Graph auf sich hat. Im zweiten Teil beschäftigten wir uns mit dem Praxiseinsatz des Threat Explorer und wie Sie damit Angriffe simulieren.
