Unterstützen Sie die Verteidigung mithilfe von Office 365-Protokollen

Die COVID-19-Pandemie und der Anstieg der Mitarbeiter, die von zu Hause aus arbeiten, führten dazu, dass schlechte Akteure ihre Bemühungen, diese Benutzer anzusprechen, verdoppelten.

Remote-Benutzer, die angeblich weniger sicher arbeiten PCs und Netzwerke sind attraktive Ziele. Dies gilt insbesondere für Unternehmen, die einen Teil ihrer Workloads in der Cloud hosten, z. B. Office 365, bei denen die IT möglicherweise nicht die vollständige Kontrolle oder Transparenz über Aktivitäten gegen die Systeme hat. Um die IT in diesem Bereich zu unterstützen, bietet Microsoft Sicherheitskomponenten an und verbessert diese Technologien kontinuierlich, um Administratoren die Tools und Funktionen zur Selbstverwaltung und Überwachung ihres Office 365-Mandanten bereitzustellen. Was können Administratoren tun, um Office 365-Protokolle zu ihren vorhandenen hinzuzufügen? Sicherheitsinformationen und Ereignisverwaltung (SIEM) Setup? Und was sollte die oberste Priorität sein, die überwacht werden muss?

SIEM ist die Anlaufstelle für IT-Administratoren zum Erfassen von Ereignis- und Protokollinformationen aus mehreren Quellen, einschließlich Netzwerkgeräten, Servern und Workstations. SIEM zentralisiert verschiedene Protokolle und Ereignisse, um der IT einen umfassenden Überblick über die Aktivitäten in ihrer Umgebung zu geben, der bei der Erkennung von Bedrohungen hilfreich sein kann. Für Unternehmen, die für einige ihrer Systeme, wie z. B. Office 365, auf ein SaaS-Modell angewiesen sind, kann es überwältigend sein, alle Ereignisse und Aktivitäten der verschiedenen Komponenten im Blick zu haben. Microsoft begegnet diesem Bedarf, indem Administratoren die Möglichkeit erhalten, mithilfe eines SIEM-Produkts eine Verbindung zu Office 365-Protokollen über APIs zur weiteren Analyse herzustellen. Die Verwendung von SIEM ohne Strategie zur Reaktion auf Sicherheitsvorfälle kann ein riskantes Geschäft sein. Dies zwingt Unternehmen dazu, Schritte zu unternehmen, um sich auf die jeweilige Situation vorzubereiten.

Verstehen Sie, was Microsoft verfolgt und wie Sie auf diese Daten zugreifen

Office 365 ist eine Sammlung von mehr als 20 Cloud-basierten Diensten, darunter SharePoint Online, Exchange Online, Microsoft Teams und OneDrive. Bei all diesen verschiedenen Diensten muss die IT wissen, wie sie gemeldete Probleme untersucht und die von ihnen erfassten Ereignisse anzeigt. Das einheitliche Überwachungsprotokoll befindet sich im Abschnitt Sicherheit des Office 365-Verwaltungsportals, der auch direkt unter der URL verfügbar ist protected.office.com/unifiedauditlog.
Aufgezeichnete Ereignisse für die meisten Dienste der Plattform, einschließlich Exchange Online- und Microsoft-Teams, können bis zu 30 Minuten dauern, bevor sie in den Office 365-Protokollen angezeigt werden, während für andere wie Azure Active Directory, Dynamics 365 CRM und Power Apps Die Aufzeichnung eines Ereignisses kann bis zu 24 Stunden dauern. Administratoren können in den Suchoptionen mit einem Datumsbereich von bis zu 90 Tagen aus mehr als 100 Aktivitäten auswählen, z. B. Erhöhung der Berechtigungen oder fehlgeschlagene Anmeldungen.

Ziehen Sie immer ein SIEM-Tool in Betracht, um Hilfe bei Sicherheitsereignissen zu erhalten

Trotz der Verfügbarkeit einer benutzerfreundlichen Webseite zum Durchsuchen von Office 365-Protokollen sollten IT-Administratoren in Betracht ziehen, SIEM-Software für zusätzliche Funktionen wie die Fähigkeit zu verwenden um Ereignisdaten zu speichern und Überwachungsprotokolle an einem Ort, um auf eine umfassende Ansicht der Überwachungs- und Betriebsdaten zuzugreifen.
Mit SIEM-Tools können Sie Sicherheitsereignisse untersuchen und schnell auf Warnungen reagieren, die sich aus der Überwachung der Identität, des Netzwerkverkehrs, der Infrastruktur sowie der allgemeinen Nutzung oder Nutzung von Diensten ergeben. SIEM-Tools helfen beim Abgleichen unregelmäßiger Aktivitäten in Ihrer Infrastruktur und in Office 365, um Muster zu erkennen.
Bei SIEM-Plattformen stehen mehrere beliebte Produkte zur Auswahl, darunter Splunk, LogRhythm, FireEye, SolarWinds und Rapid7.

Was Microsoft Azure Sentinel im Vergleich zu anderen SIEM-Tools bietet

Vor einigen Jahren führte Microsoft eine SIEM-Plattform namens Microsoft Operations Management Suite (OMS) ein, durch die es kürzlich ersetzt wurde Azure Sentinel. Dieses neue Angebot ist eine kostengünstige Option, die in der Azure-Cloud gehostet wird und von der IT innerhalb von Minuten eingerichtet werden kann. Azure Sentinel bietet mehrere Konnektoren zum Aufnehmen von Datenprotokollen von Diensten, einschließlich Office 365, Microsoft Defender Advanced Threat Protection und AWS, und unterstützt auch die Konnektivität zu Appliances wie Barracuda Web Application Firewall, F5 BIG-IP und Forcepoint Data Loss Prevention.
Zu den Funktionen von Azure Sentinel gehört die Fähigkeit zur künstlichen Intelligenz, abnormale Aktivitäten anhand aller im System erfassten Daten zu erkennen, sodass Administratoren nicht jedes Ereignis analysieren müssen. Azure Sentinel unterstützt anpassbare automatisierte Antworten oder Aktionen auf bestimmte Ereignisse. Verwendung der Azure Logic-AppsAls häufig in Azure verwendete Workflow-Engine können Administratoren verschiedene Workflows für bestimmte Aktionen entwickeln, z. B. das Zurücksetzen eines Kennworts nach zu vielen fehlgeschlagenen Anmeldeversuchen oder das Erstellen eines Servicetickets, wenn eine Warnung mit hohem Schweregrad auftritt (siehe Abbildung unten). Als zusätzlichen Vorteil berechnet Microsoft keine Gebühren für die Aufnahme von Office 365-Protokollen.

Logic Apps Playbook
Administratoren können ein Logic Apps-Playbook entwerfen, das als Reaktion auf bestimmte Warnungen automatisch ausgeführt wird. In diesem Beispiel löste eine Warnung eine Bedingung aus, um automatisch ein Helpdesk-Ticket hinzuzufügen.

In einer Zeit, in der viele ihrer Benutzer remote sind, sollten IT-Mitarbeiter die Office 365-Umgebung aktiv überwachen und genau untersuchen Sicherheitsereignisse. Die Verwendung von Officer 365-Protokollen und anderen Warnungen auf der Plattform allein reicht nicht aus. Durch die Integration der Plattform in ein SIEM-Tool oder die Einführung einer neuen Plattform wie Azure Sentinel wird der Überwachungsprozess jedoch optimiert. Das Aufdecken verdächtiger Aktivitäten kann schlechte Akteure aufdecken, die auf ihre Endbenutzer abzielen, und Systeme können erkannt und behandelt werden. Die Sicherheit geht jedoch über die bereitgestellten Tools hinaus. IT-Manager benötigen außerdem einen Reaktionsplan für verschiedene Vorfälle. Dies müssen lebende Dokumente sein, die häufig aktualisiert werden, z. B. die von der Organisation verwendete Software.

Similar Posts

Leave a Reply