Automatisieren Sie Ihre Microsoft-Sicherheitssuite mit D3 XGEN SOAR

microsoft sicherheit

Von Walker Banerd, Senior Manager für Kommunikation und Content Marketing und D3 Security bei Microsoft

Dieser Blogbeitrag ist Teil der Gastblogserie der Microsoft Intelligent Security Association. Erfahren Sie mehr über MISA.

Es gibt bestimmte Probleme im durchschnittlichen Security Operations Center (SOC), die unabhängig davon, was sich in der Sicherheitslandschaft sonst noch ändert, zu den am stärksten verankerten Problemen gehören. Sie können sie wahrscheinlich aus dem Stegreif benennen: eine überwältigende Anzahl von Sicherheitswarnungen, der anhaltende Mangel an qualifizierten Cybersicherheitsexperten, die Unfähigkeit, immer raffiniertere Angriffe zu erkennen und darauf zu reagieren, und die Verbreitung von Tools (76 im durchschnittlichen Unternehmens-SOC), die nicht immer gut zusammenarbeiten.1 Aber diese Herausforderungen haben noch etwas anderes gemeinsam, als dass sie den Sicherheitsexperten Kopfzerbrechen bereiten: Sie werden alle durch Sicherheitsorchestrierung, Automatisierung und Reaktionsfähigkeit gemildert.besser bekannt als SOAR.2 Erfahren Sie, wie XGEN SOAR von D3 Security integriert wird mit Microsoft Sentinel und Hunderte anderer Tools, die Kunden dabei helfen, die Ermüdung von SOC-Analysten und uneinheitliche Toolsets zu überwinden, in diesem Blogbeitrag.

Was ist SOAR?

Lassen Sie uns mit den Grundlagen beginnen. SOAR ist eine Kategorie leistungsstarker Tools, die mit anderen Sicherheitssystemen wie SIEM (Security Information and Event Management), EDR (Endpoint Detection and Response) und Firewalls integriert werden, um Warnmeldungen zu erfassen, sie mit kontextbezogenen Informationen anzureichern und Abhilfemaßnahmen in der gesamten Umgebung zu koordinieren. SOAR-Tools verwenden Playbooks zur Automatisierung und Kodifizierung von Workflows, um die mittlere Reaktionszeit (MTTR) zu verkürzen und die Reaktionen auf gängige Vorfallstypen zu standardisieren.

D3 XGEN SOAR ist eine vollständig herstellerunabhängige SOAR-Lösung, d.h. sie kann Dutzende von tiefen Integrationen mit Microsoft-Tools unterhalten.einschließlich Sentinel-und die Automatisierung von Sicherheitsabläufen in jeder Umgebung.

Wie Microsoft Sentinel-Kunden die Event Pipeline von D3 nutzen, um sich auf echte Bedrohungen zu konzentrieren

Was bedeutet die Integration von D3 XGEN SOAR mit Microsoft-Tools für die Kunden? Nehmen wir ein enges Beispiel und sehen wir uns an, wie D3s Event Pipeline-ein einzigartiges Angebot unter den SOAR-Plattformen.reagiert auf Microsoft Sentinel-Ereignisse, um das Leben von Sicherheitsanalysten zu erleichtern.3

D3 erfasst Microsoft Sentinel-Ereignisse zur Untersuchung und Reaktion. Aber wie jeder SIEM-Betreiber weiß, ist es ein heikles Gleichgewicht, Ihr SIEM und andere Alarm generierende Tools so zu konfigurieren, dass Sie alle wichtigen Vorfälle erfassen, ohne eine überwältigende Menge an Rauschen zu erzeugen. Hier kommt die Event Pipeline von D3 ins Spiel.

Der Weg der Alarme durch D3 XGEN SOAR, von der Alarmquelle bis zur Reaktionsphase auf den Vorfall. Die Event Pipeline von D3 deckt die Phasen Normalisierung, Triage, Entlassung und Eskalation ab.

Wenn ein Microsoft Sentinel-Ereignis in D3 eingeht, durchläuft es die Ereignis-Pipeline, ein globales automatisiertes Playbook, das auf jedes eingehende Ereignis oder jeden Alarm eines Erkennungstools reagiert. Die Event Pipeline arbeitet in drei Stufen:

  • Zunächst werden die Daten des eingehenden Ereignisses normalisiert. Die Artefakte, wie z. B. IP-Adressen, Benutzer-IDs und URLs, werden extrahiert und Metadaten-Tagging durchgeführt.
  • Es folgt die Triage-Phase. Das Ereignis wird dedupliziert und mit anderen Ereignissen korreliert. Die Artefakte werden mit integrierten Bedrohungsdatenquellen abgeglichen, um das Risiko zu bestimmen, und es werden MITRE ATT&CK-Kennzeichnungen für Taktiken, Techniken und Verfahren (TTP) angebracht.
  • In der letzten Phase wird das Microsoft Sentinel-Ereignis entweder als falsch positiv abgewiesen oder eskaliert und einem Analysten zugewiesen. Die Regeln für die Zurückweisung und Eskalation werden vom Benutzer auf der Grundlage von Kriterien wie den Risikowerten aus der Anreicherung von Bedrohungsdaten oder dem Vorhandensein von wichtigen Assets in den Artefakten festgelegt.

Durch den Einsatz der Event Pipeline von D3 bei der Untersuchung von Microsoft Sentinel-Ereignissen können 90 Prozent oder mehr der Microsoft Sentinel-Ereignisse sicher herausgefiltert werden, bevor sie einen menschlichen Analysten erreichen, so dass die echten Bedrohungen angemessen untersucht werden können.

Wichtige Microsoft-Integrationen

Die Integration von D3 mit Microsoft Sentinel ist nur eine von 33 Integrationen zwischen D3 XGEN SOAR und Microsoft-Tools. Zweiundzwanzig dieser Integrationen sind aus der Azure-Suite. Einige der wichtigsten Integrationen für gängige Sicherheitsanwendungen sind Microsoft Defender for Endpoint, Microsoft 365und Azure Active Directory (Azure AD).

Microsoft Defender für Endpunkte

Microsoft Defender-Benutzer können 26 verschiedene Aktionen von D3 aus orchestrieren, darunter das Abrufen von Ereignissen, die Anreicherung von Vorfällen mit Endpunktdaten und die Quarantäne infizierter Hosts. So entsteht ein automatisierter Prozess für jeden Endpunkt-Sicherheitsvorfall, der schnell und überzeugend handelt, bevor die Bedrohungen außer Kontrolle geraten.

Microsoft 365

Phishing ist immer noch der Einstiegspunkt für die meisten Cyberangriffe, was E-Mails zu einem wichtigen Bestandteil der Reaktion auf Cybersecurity-Vorfälle macht. Wenn eine potenzielle Phishing-E-Mail entdeckt wird, kann D3 die E-Mail und die Anhänge abrufen, die Artefakte analysieren, die Reputation der Artefakte anhand von Bedrohungsdaten und früheren Vorfällen überprüfen und feststellen, ob die E-Mail eine echte Bedrohung darstellt. Ist dies der Fall, kann D3 weitere Instanzen der E-Mail in den Posteingängen des Unternehmens finden und diese löschen.

Azure Active Directory

Vielleicht haben Sie schon einmal gehört, dass "Identität die neue Grenze ist". Dies unterstreicht, wie wichtig es ist, bei einem Sicherheitsvorfall in Azure AD schnell handeln zu können. Unternehmen, die Azure AD (und AD vor Ort) nutzen, können D3-Vorfälle mit Benutzer- und Gruppeninformationen anreichern, Benutzer und Gruppen von D3 aus verwalten und schnell Abhilfemaßnahmen wie das Zurücksetzen von Passwörtern oder den Entzug von Anmeldesitzungen durchführen.

Sicherheitsorchestrierung für MSSPs

Managed Security Service Provider (MSSPs) profitieren von den gemeinsamen Lösungen von D3 und Microsoft in ähnlichem Maße wie SOCs, allerdings in größerem Umfang.4 Bei D3 hat man festgestellt, dass MSSPs nicht immer direkten Zugang zu allen Tools ihrer Kunden haben oder dass sie nicht zu Experten für jedes einzelne Tool ihrer Kunden werden wollen, wenn sie mit diesen Tools nur Alarme verwalten. Stattdessen geben die Kunden ihren MSSP Zugang zu D3, von wo aus sie die Warnmeldungen aller ihrer Erkennungstools über eine einzige Schnittstelle verwalten können.

Dies macht D3 zu einem nützlichen Operations-Hub für MSSPs mit Kunden, die auf Azure-Systeme oder andere Microsoft-Tools angewiesen sind. Der MSSP kann die Integrationen von D3 mit Microsoft Sentinel, Microsoft Defender for Endpoint nutzen, Microsoft 365und andere, um Warnungen zu bearbeiten und sogar Reaktionsmaßnahmen zu orchestrieren.ohne dass sie vollen Zugang zu den Werkzeugen ihrer Kunden benötigen.5 Die Ereignis-Pipeline ist auch in diesem Szenario ein wertvolles Werkzeug, das es MSSPs ermöglicht, ein viel größeres Volumen an Warnmeldungen zu verarbeiten, ohne zusätzliche Ressourcen einzusetzen.

Gemeinsam besser: Anwendungsfälle für Microsoft und D3 XGEN SOAR

Anwendungsfall 1: Untersuchung und Orchestrierung in hybriden Umgebungen

Ein Diagramm, das zeigt, wie D3 Warnmeldungen aus Cloud- oder On-Premise-Quellen aufnimmt und kodierungsfreie Playbooks über Cloud- oder On-Premise-Tools orchestriert.

Immer mehr Unternehmen verlagern ihre Systeme und Server zu Cloud-Diensten wie Microsoft Azure, doch viele behalten eine hybride Umgebung bei, in der einige Systeme weiterhin vor Ort gehostet werden. Dieses hybride Modell wirft ein Sicherheitsproblem auf, da das Unternehmen zwei Arten von Sicherheitswerkzeugen verwalten muss.eine in der Cloud und eine vor Ort.

D3 kann mit Microsoft Sentinel, 21 anderen Tools im Azure-Stack und Hunderten von On-Premise-Tools integriert werden, um eine einzige SecOps-Schnittstelle für die gesamte hybride Umgebung zu schaffen. Gemeinsame Nutzer von Microsoft Sentinel und D3 können Warnmeldungen mit Bedrohungsdaten anreichern, MITRE ATT&CK-Techniken identifizieren, automatisierte Playbooks ausführen, um auf Vorfälle zu reagieren, und vieles mehr.über Cloud- und On-Premise-Systeme gleichzeitig.

Bei einem Phishing-Angriff, der zu einem potenziell infizierten Endpunkt geführt hat, könnte ein Analyst mit D3 beispielsweise den Zugriff des Benutzers in Azure AD deaktivieren, Microsoft Sentinel nach zusätzlichen Daten abfragen, in Microsoft 365-Postfächern nach weiteren Instanzen der Phishing-E-Mail suchen und den betroffenen Endpunkt mit Microsoft Defender for Endpoint unter Quarantäne stellen.6

Die Integration von D3 SOAR mit Ihren Azure-Tools und Ihren On-Premise-Tools kann Ihren Arbeitsaufwand reduzieren.und Ihr Risiko...um die Hälfte reduzieren. Durch die Möglichkeit, Ihre gesamte hybride Umgebung zu überwachen und zu handeln, verlieren Sie Vorfälle, die sich zwischen verschiedenen Umgebungen bewegen, nicht aus den Augen und können jederzeit Ihre gesamte Reaktion ausführen, ohne zwischen verschiedenen Tools wechseln zu müssen.

Anwendungsfall 2: Kompromittierte Anmeldedaten

Ein Diagramm, das zeigt, wie D3 Berichte über durchgesickerte Anmeldeinformationen aufnimmt, sie mit Active Directory abgleicht und die entsprechende Reaktion veranlasst.

Wenn die Zugangsdaten eines Mitarbeiters kompromittiert, gehackt oder durchgesickert sind, können sie auf Listen auftauchen, die von Threat Intelligence-Plattformen bereitgestellt werden. Sicherheitsteams benötigen Möglichkeiten, um von kompromittierten Anmeldedaten zu erfahren, die Anmeldedaten mit den anderen Informationen des Mitarbeiters abzugleichen, zu bestimmen, auf welchen Rechnern die Anmeldedaten verwendet werden könnten, und Maßnahmen zu ergreifen, um unbefugten Zugriff zu verhindern. D3 lässt sich mit AD (Azure oder vor Ort), Threat Intelligence-Plattformen und anderen Tools integrieren, um diesen Prozess zu orchestrieren.

D3 kann Listen mit durchgesickerten Zugangsdaten von integrierten Threat-Intelligence-Plattformen einlesen. Wenn die Anmeldedaten eines Mitarbeiters in einer Liste enthalten sind, kann D3 Active Directory abfragen, um die Anmeldedaten mit anderen Informationen über den Mitarbeiter abzugleichen, einschließlich der Liste der Rechner, auf die er Zugriff hat. D3 kann den Anmeldeverlauf des Benutzers aus dem Active Directory abrufen, um nach ungewöhnlichen Aktivitäten zu suchen, den Benutzer bei Bedarf vorübergehend zu deaktivieren und eine Passwortänderung zu veranlassen.

Der Himmel ist die Grenze

Dies sind nur einige der Anwendungsfälle, die D3-Benutzer über ihre Microsoft-Tools und -Systeme orchestrieren können. Mit mehr als 30 Integrationen und Hunderten von Befehlen ist die Grenze dessen, was anspruchsvolle Benutzer mit den kombinierten Fähigkeiten von D3 und Microsoft erreichen können, extrem hoch. Lassen Sie sich davon aber nicht einschüchtern. Mit kodierungsfreien, sofort einsatzbereiten Playbooks für gängige Vorfallstypen können auch technisch weniger versierte Benutzer die Vorteile der gemeinsamen Lösungen sofort nutzen.

Über D3 Sicherheit

Die XGEN SOAR-Plattform von D3 Security kombiniert Automatisierung und Orchestrierung über mehr als 500 integrierte Tools mit einer automatisierten Ereignis-Pipeline, die das Ereignisvolumen um 90 Prozent oder mehr reduziert.2 Die kodierungsfreien Playbooks von D3 automatisieren Anreicherungs- und Behebungsaufgaben und machen es für jeden einfach, Workflows für Sicherheitsoperationen, Incident Response und Threat Hunting zu erstellen, zu ändern und zu skalieren.

D3 Security verfügt über mehr als 30 Microsoft-Integrationen und ist seit 2020 Mitglied der Microsoft Intelligent Security Association (MISA). Besuchen Sie die Azure Marketplace-Seite hier. Mehr über die Zusammenarbeit von D3 mit Microsoft erfahren Sie auf der Seite der Technologiepartner von D3.5

Mehr erfahren

Wenn Sie mehr über MISA erfahren möchten, besuchen Sie unsere MISA-Website, auf der Sie sich über das MISA-Programm und Produktintegrationen informieren und MISA-Mitglieder finden können. Besuchen Sie die Videowiedergabeliste, um mehr über die Stärke der Mitgliederintegrationen mit Microsoft-Produkten zu erfahren.

Wenn Sie mehr über Microsoft-Sicherheitslösungen erfahren möchten, besuchen Sie unsere Website. Setzen Sie ein Lesezeichen für den Security-Blog, um über unsere Expertenberichte zu Sicherheitsfragen auf dem Laufenden zu bleiben. Folgen Sie uns auch unter @MSFTSecurity, um die neuesten Nachrichten und Updates zur Cybersicherheit zu erhalten.


1 Sicherheitsverantwortliche tappen immer noch im Dunkeln, wenn es um die Sichtbarkeit von Anlagen geht, während mangelnder Einblick zu Kontrollversagen führt, Panaseer. 2022.

2 XGEN SOAR-Plattform, D3 Security.

3 XGEN SOAR Event Pipeline, D3 Sicherheit.

4 Sicherheitsautomatisierung und Orchestrierung für MSSPs, D3 Security.

5 Microsoft Azure Sentinel Integration, D3 Security.

6 D3 XGEN SOAR für Phishing-Angriffe, D3 Security.