MSSP SOC Services auf Basis von

Azure Sentinel (SIEM & SOAR)

Modern Work Week - 24.Juni 2021

 Matthias Partl
 Cloud Solution Architect (Identity & Security)
 Apps & Infrastructure
 One Commercial Partner
Cloud Solution Architect (CSA)

Matt Partl
 Agenda

• Microsoft Security im Überblick

• SOC Reference Architecture
• Partner MSSP – SOC Offerings
• Mehrwert von Azure Sentinel zu bestehenden SIEM Lösungen
• Pricing + Bereitstellung von Azure Sentinel
• Threat Intelligence + erforderliche Alert Rules
• Analyse von Sicherheitsvorfällen
• Automatisierte Gegenmassnahmen über verfügbare Playbooks
• Weiterführende Informationen
 Microsoft Security für M365 und Azure
Identity & access Threat Network Data & information Security
management protection Security protection management

Micro Segmentation (VNET,

Azure Active Directory Premium Azure Security Center Encryption (Disks, Storage, SQL) Azure Security Center
Service Endpoints, NSG/ASG)

Application Gateway
Multi-Factor Authentication Azure Defender Azure Key Vault Azure Log Analytics
Azure (WAF), Azure Firewall
Security
Role Based Access Control IoT Security DDoS Protection Standard Confidential Computing
Azure Sentinel
Virtual WAN Azure Pureview (Preview) (SIEM as a Service)
Azure Sentinel
(ExpressRoute, VPN)

Azure Active Directory

Premium
Microsoft 365 Defender for Secure Score
Windows Hello Endpoint Microsoft Information
Protection Microsoft Security and
Credential Guard Microsoft Cloud App Security Compliance Center
M365 Data Loss Prevention
Microsoft 365 Defender for
Microsoft Identity BitLocker
365
Microsoft Cloud App Security
 Azure Sentinel – Cloud Native SIEM, SOAR, and UEBA for IT, OT, and IoT
https://aka.ms/MCRA
Azure Endpoint Office 365 Identity SaaS
Cloud App Security
Other Tools,
Logs, and
Data
Sources
Security Documentation
Microsoft Best Practices
Top 10
Benchmarks CAF WAF

Azure Active Directory

Azure Security Center – Cross-Platform Cloud Security Posture Management (CSPM)

Discover
Monitor Classify
Protect

Azure AD App Proxy

Beyond User VPN Azure Key Vault S3

B2B B2C

Azure Backup
Security & Other Services

GitHub Advanced Security – Secure development and software supply chain

Security Operations Center

Provide actionable security

alerts, raw logs, or both
 Microsoft TSI für Microsoft Security Stack
Fundamental Associate Expert
Microsoft Security, Compliance, and Identity M365 Security Administrator Associate M365 Enterprise Administrator Expert
Fundamentals
MS-500: Microsoft 365 Security MS-100: Microsoft Identity and Services
SC-900: Microsoft Security, Compliance, and Administration MS-101: Microsoft 365 Mobility & Security
Identity Fundamentals
Microsoft Security Operations Analyst

SC-200: Microsoft Security Operations

Analyst
Microsoft Identity and Access Administrator

SC-300: Microsoft Identity and Access

Administrator
Microsoft Information Protection Administrator

SC-400: Microsoft Information Protection

Administrator

Azure Security Engineer

AZ-500: Microsoft Azure Security

Technologies

Partner Training Center

Partner Training Center

Microsoft training and certifications
 Partner MSSP – SOC Offerings

Kommerzielles MSSP – SOC Offering für Azure Marketplace

24x7 Managed SIEM/SOAR Service auf Basis von Azure Sentinel (SOC Service)
Azure Sentinel wird über den OCP Partner im Kunden Tenant bereitgestellt. Der OCP Partner bindet verschiedene Datenquellen an
Azure Log Analytics/Azure Sentinel ein, aktiviert notwendige Alert Rules oder passt ggf. Alert Rules auf Kundenumgebung an. Über die
aktivierten Alert Rules werden Incidents (Sicherheitsvorfälle) generiert, die vom SOC Analysten des Partners über Threat Hunting näher
analysiert werden, um eine geeignete automatisierte Gegenmaßnahme über Playbooks festzulegen
 Microsoft Partner Accelerator Programme zu Azure Sentinel

M365 Accelerator Program (m365partneraccelerator.azurewebsites.net)

 Microsoft Intelligent Security Association

Microsoft Intelligent Security Association

 MISA: A fast-growing ecosystem of Microsoft Security Partners

April 2018: Launch with 26 partners

February 2020: 102 partners
January 2021: 200+ partners
(not including CyberX/Defender for IoT technology partners)

MISA Partners

ISVs MSSPs
(in pilot since July 2020)
 MISA MSSP Member benefits

Marketing benefits Technical benefits

Designated MISA badge for member marketing material and Invitation to twice yearly roadmap review (NDA required)
event signage Invitation to annual technical workshop led by product team(s)
Consideration for the monthly MISA guest blog Possible BETA access to new features
Consideration for speaking/demo opportunities at events Solution architect support for building integrations
Co-branded press release for new members with a Microsoft Ability to request a Microsoft technical expert to lead a hackathon at
quote (release written by member, with Microsoft approval) member offices
Consideration for inclusion in Microsoft PR
Placement in the MISA member catalog linked to solution
offering(s) in Azure Marketplace
Co-branded marketing templates
Ability to participate in Microsoft-produced integration
Business benefits
videos Teams channel for members only
Inclusion on MISA YouTube playlist for relevant videos Monthly team calls for planning and questions
Ability to request a Microsoft expert to present at member Ability to participate in member-to-member networking opportunities
events, workshops, and webinars
Consideration for inclusion in field educational materials to
Microsoft sales teams and reseller partners
Consideration for social paid promotion
 Azure Sentinel
(Security Management)
 Azure Sentinel, cloudnative SIEM

©Microsoft Corporation
Azure
 Microsoft recognized as a Leader in The Forrester Wave™: Unstructured Data Security Platforms, Q2 2021 |
Microsoft Security Blog
The Forrester Wave™ is copyrighted by Forrester Research, Inc. Forrester and Forrester Wave™ are trademarks of Forrester Research, Inc. The Forrester Wave™ is a graphical representation of Forrester’s call on a market and is plotted using a detailed spreadsheet with exposed scores, weightings, and comments. Forrester does not
endorse any vendor, product, or service depicted in the Forrester Wave™. Information is based on best available resources. Opinions reflect judgment at the time and are subject to change.
Terminologie
 Business Driver - Compliance Anforderungen

Beispiel:
GDPR

Breach Reporting
 Business Driver - Compliance Anforderungen

Example:
TISAX Controls

Incident/Event
Monitoring
Traditionelles Incident Management – Microsoft Defender Security Center

https://securitycenter.windows.com/
Traditionelles Incident Management in M365 & Azure: Datenquellen
Traditionelles Incident Management in M365 E5 & Azure - Gegenmaßnahmen
Azure Sentinel für M365 Defender und Azure Defender

SIEM | Azure Sentinel

XDR | Microsoft Defender

 Azure Sentinel – verfügbare Datenquellen/Konnektoren

Microsoft 365

Einfache Integration in Microsoft Lösungen

Data Connectors für viele Partnerlösungen
Standard Log Format (CEF) Unterstützung für
alle Quellen

Bewährte Protokollplattform mit mehr

als 10 Petabyte täglicher Aufnahme
 Azure Sentinel for Global SOC
Reference Architecture

Syslog Customer Data

On-premises

Customer Data
Azure Subscriptions

Customer Data
Office 365

Customer Data
Other Cloud Services

Microsoft Internal Use and Microsoft Partners Only

 Vorbereitung & Implementierung

Empfohlene Vorgehensweise für Inbetriebnahme:

1. Bereitstellung eines Storage Containers/Log Analytics Workspace (Container

Größe legt Nutzungskosten von Azure Sentinel fest)
2. Konfiguration der Data Konnektoren
3. Definition von Alert Regeln
4. Analyse von Sicherheitsvorfällen über gezieltes „Threat Hunting“ auf Basis
von Sicherheitsvorfällen/“Incidents“
5. Festlegen von geeigneten Gegenmaßnahmen über Playbook

© Microsoft Corporation Azure

Vorbereitung &
Implementierung
 Vorbereitung & Implementierung

Aktivierung von Azure Sentinel

Um mit der Implementierung von Azure Sentinel zu beginnen,

müssen Sie zuerst Azure Sentinel aktivieren und dann Ihre
Datenquellen verbinden. Azure Sentinel verwendet Azure Log
Analytics als Back-End, um hauptsächlich Ereignisse und andere
erforderliche Informationen zu speichern. Es wurde früher Operations
Management Suite (OMS) genannt.

1. Go into Azure Portal

2. Navigate to the Log Analytics workspaces blade in the Azure Portal
3. Click to Add and complete the form to create a new Log Analytics workspace

Next step is to enable Azure Sentinel environment by assigning the newly created Log
Analytics workspace.

1. Go into Azure Portal

2. Make sure that the subscription in which Azure Sentinel is created, is selected
3. Search for Azure Sentinel
4. Click +Add
5. Select the workspace you created before
6. Click Add Azure Sentinel

© Microsoft Corporation Azure

 Vorbereitung & Implementierung

Foundation: Log Analytics Workspace

Verbrauch und geschätzte Kosten

https://docs.microsoft.com/en-us/azure/azure-monitor/platform/manage-cost-storage

Sie können die Gesamtnutzung und die Gesamtkosten pro Preisstufe verfolgen, die
Ihrem Azure Sentinel zugewiesenen Log Analytics-Arbeitsbereich zugeordnet ist. Diese
Anzeige zeigt eine Aufschlüsselung der Protokolldatenerfassung und
Protokolldatenspeicherung sowie die entsprechenden Preise.#

Neben der Preisstufe werden sowohl die Protokolldatenerfassung als auch die
Protokolldatenspeicherung in Diagrammform angezeigt.

• Die Datenaufnahme zeigt Ihnen die letzten 31 Tage pro Datenquelle.

• Erhaltene Daten zeigt Ihnen die Gesamtmenge der pro Datenquelle gespeicherten
Daten.

© Microsoft Corporation Azure

 Azure Sentinel Pricing

Für eine Kostenkalkulation (PAYG) von Azure Sentinel müssen

folgende Kostenfaktoren berücksichtigt werden:

1. Datenaufbewahrung - Log Analytics Workspace

2. Azure Sentinel
3. Anzahl an Aktionen (Playbooks) von Azure Logic App

WICHTIG: Durch Kapazitätsreservierung und damit verbundenen

Rabattierung lassen sich Kosten sparen
Azure Sentinel Pricing - Datenaufbewahrung - Log Analytics Workspace

Preise – Azure Monitor | Microsoft Azure

Azure Sentinel Pricing: Datenerfassung/externe Konnektoren

Azure Sentinel – Preise | Microsoft Azure

Azure Sentinel Pricing - Anzahl an Aktionen (Playbooks) von Azure Logic App

Preise – Logic Apps | Microsoft Azure

Azure Sentinel Pricing – Rabatt durch Kapazitätsreservierung

Azure Sentinel – Preise | Microsoft Azure

Data Cap in Log Analytics Workspace Settings
Retention Policy in Log Analytics Workspace Settings
 Erforderlich AD Benutzer & Rollen

• Administrator (Rolle: Owner) für „Remote monitoring“ und

„Joint Threat exploration“
• Benutzer (Rolle: Contributor) für „Remote monitoring“
oder „Joint Threat Exploration“
• Benutzer (Rolle: Azure Sentinel Reader)
• Benutzer (Rolle: Azure Sentinel Responder)
• Benutzer (Rolle: Azure Sentinel Contributor), siehe
Hinweis: https://docs.microsoft.com/en-
us/azure/sentinel/roles

To Do:
 Azure Sentinel - Multiple Workspace View
Über Muliple Cross Workspace View können MSSPs Incidents über mehrere Kundenmandanten
hinweg monitoren
Datenquellen
verbinden
Datenquellen verbinden

Wählen Sie Ihre Datenquellenverbindung:

1. Microsoft Services
2. External via API
3. External via Agent

Microsoft Services
• Microsoft-Dienste sind nativ verbunden und nutzen die Azure-Grundlage für eine
sofort einsatzbereite Integration

External Solutions via API

• Einige Datenquellen werden über APIs verbunden, die von der verbundenen
Datenquelle bereitgestellt werden. In der Regel stellen die meisten
Sicherheitstechnologien eine Reihe von APIs bereit, über die Ereignisprotokolle
abgerufen werden können. Die APIs stellen eine Verbindung zu Azure Sentinel her,
erfassen bestimmte Datentypen und senden sie an Azure Log Analytics. Nutzung der
Azure-Grundlage für die sofort einsatzbereite Integration.

External Solutions via Syslog Agent

• Azure Sentinel kann über einen Agenten mit allen anderen Datenquellen verbunden
werden, die Echtzeitprotokoll-Streaming mithilfe des Syslog-Protokolls ausführen
können. Die meisten Appliances verwenden das Syslog-Protokoll, um
Ereignismeldungen zu senden, die das Protokoll selbst und Daten zum Protokoll
enthalten. Das Format der Protokolle ist unterschiedlich, aber die meisten Appliances
unterstützen den CEF-Standard (Common Event Format).

© Microsoft Corporation Azure

NEU – Azure Sentinel SAP Connector (aktuell: Public Preview)

Deploy the Azure Sentinel SAP data connector on-premises | Microsoft Docs
 Azure Sentinel – verfügbare Datenquellen/Konnektoren – Die 3rd Party
Connector “Bibel”

Azure Sentinel: The connectors grand (CEF, Syslog, Direct, Agent, Custom and more) - Microsoft Tech Community
 Azure Sentinel for AWS
Data Connection

Delegated
AWS Security Hub IAM Role Azure AD
Permissions
Security & Compliance
Azure Sentinel
Custom
Amazon Inspector Connector
Security Assessments Azure Log Analytics

AWS CloudTrail Azure

Amazon GuardDuty Azure Security Center
Sentinel
LookupEvents API: Connector
Threat Detection: • 2 transactions per
• CloudTrail second, per account
• VPC Flow Log • 50 records per query
• DNS Log Stream Alert
Provides: Azure
Monitor Data
management events, per
Amazon Macie account/region Agent

DLP for S3 storage

AWS Secrets Manager
IAM Access Analyzer
AWS Firewall Manager
S3 Storage
Containers ?
Other PaaS ?
Microsoft Internal Use and Microsoft Partners Only
AWS EC2 VMs MDATP
APIs Used
Security Auditing MCAS (CASB)
Cloudtrail:DescribeTrails
Cloudtrail:LookupEvents Visibility into and control of
Cloudtrail:GetTrailStatus AWS app use
Cloudwatch:Describe
Cloudwatch:Get
Cloudwatch:List Security Configuration
Iam:List
Iam:Get Fundamental security
S3:ListAllMyBuckets recommendations based
S3:PutBucketAcl on CIS benchmark for AWS
S3:GetBucketAcl
S3:GetBucketLocation
Datenquellen verbinden

Choose your Data Source Connection:

Microsoft Services

Microsoft-Dienste sind nativ verbunden und nutzen die Azure-Grundlage für eine
sofort einsatzbereite Integration. Die folgenden Lösungen können mit wenigen
Klicks verbunden werden:

• M365
• Azure AD audit logs and sign-ins
• Azure Activity
• Azure AD Identity Protection
• Azure Security Center
• Microsoft Information Protection
• Azure Defender
• Cloud App Security
• Windows security events
• Microsoft Defender

Beispiel: Azure Activity

© Microsoft Corporation Azure

 Anbindung eines M365E5 Tenants an Azure Sentinel

• Der M365 Service Account muss im Azure AD (Azure Sentinel Tenant) mit
einer „Globaler Admin“ oder „Security Admin“ registriert sein
• Um das AD des M365 Tenants anzubinden, wird eine AAD P1 oder AAD P2
Lizenz benötigt
• Audit Logging muss im M365 E3/E5 Tenant aktiviert sein
• Für MCAS muss zusätzlich File Monitoring aktiviert
Connect Azure Active Directory data to Azure Sentinel | Microsoft Docs
Connect Azure AD Identity Protection data to Azure Sentinel | Microsoft Docs
Connect Office 365 logs to Azure Sentinel | Microsoft Docs
 Konfiguration Microsoft 365- Aktivierung Audit Logging

Wenn Sie über eine E3-Lizenz verfügen, müssen Sie, bevor Sie über die Verwaltungsaktivitäts-API von Office 365
auf Daten zugreifen können, die einheitliche Überwachungsprotokollierung für Ihre Office 365-Organisation
aktivieren. Hierzu aktivieren Sie das Office 365-Überwachungsprotokoll.

1. Öffnen Sie eine neue Inkognito / Private Webbrowser-Sitzung und melden Sie sich beim Admin-
Portal des Office 365-Mandanten des Kunden an: http://portal.office.com/AdminPortal
2. Öffnen Sie eine neue Registerkarte in der Webbrowsersitzung und rufen Sie das Security &
Compliance Center auf: http://protection.office.com
3. Befolgen Sie die folgenden Richtlinien, um die Überwachungsprotokollsuche in Office 365 zu
aktivieren (sofern diese noch nicht aktiviert ist):

Turn audit log search on or off - Microsoft 365 Compliance | Microsoft Docs
 Konfigurieren Sie die Microsoft 365- MCAS File Monitoring

1. Öffnen Sie eine neue Registerkarte in der Webbrowsersitzung und rufen Sie das
Microsoft Cloud App Security-Portal auf
2. Wählen Sie unter Einstellungen im Cloud App Security Portal "Dateien",
"Dateiüberwachung aktivieren" und dann "Speichern":

Connect Cloud App Security data to Azure Sentinel | Microsoft Docs

Bedrohungen
erkennen
Microsoft Intelligent Security Graph API
Microsoft Threat Intelligence
 Anbindung Azure Sentinel an externe Threat Intelligence
MISP Open Source Threat Intelligence Platform
For a sample script that provides clients with MISP instances to migrate threat indicators to the Microsoft
Graph Security API, see the MISP to Microsoft Graph Security Script.

Anomali ThreatStream
To download ThreatStream Integrator and Extensions, and the instructions for connecting ThreatStream
intelligence to the Microsoft Graph Security API, see the ThreatStream downloads page.

Palo Alto Networks MineMeld

For guided instructions, see Sending IOCs to the Microsoft Graph Security API using MineMeld.

ThreatConnect Platform
For information, see ThreatConnect Integrations and look for Microsoft Graph Security API on the page.

https://docs.microsoft.com/en-us/azure/sentinel/connect-threat-intelligence
 Angriffe über Alert Rules erkennen

Erkennungsregeln - Alert Rules

Erstelle /Bearbeite Alarmregeln

Nachdem Sie Ihre Datenquellen mit Azure Sentinel verbunden haben, möchten Sie
benachrichtigt werden, wenn etwas Verdächtiges passiert. Zu diesem Zweck können Sie in
Azure Sentinel erweiterte Alarmregeln erstellen, die Fälle generieren, die Sie zuweisen
und zur eingehenden Untersuchung von Anomalien und Bedrohungen in Ihrer Umgebung
verwenden können.

Die Erkennungsregeln basieren auf den Arten von Bedrohungen und Anomalien, die in
Ihrer Umgebung möglicherweise verdächtig sind und über die Sie sofort Bescheid wissen
möchten, und stellen sicher, dass sie auftauchen, untersucht und behoben werden.

1. In the Azure portal under Azure Sentinel, select Analytics.

2. In the top menu bar, click +Add.
3. Under Create alert rule, provide a descriptive name, and set the Severity as AzureActivity
necessary. | where OperationName == "Create or Update Virtual Machine" or OperationName == "Create
4. Create the query in Log Analytics, and then paste it into the Set alert rule field. Here's Deployment"
a sample query that would alert you when an anomalous number of resources is | where ActivityStatus == "Succeeded"
created in Azure Activity. | make-series dcount(ResourceId) default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d)
5. In the Entity mapping section, use the fields under Entity type to map the columns in by Caller
your query to entity fields recognized by Azure Sentinel.
6. Define alert trigger conditions under Alert trigger. This defines the conditions that
trigger the alert.
7. Set the Frequency for how often the query is run - as frequently as every 5 minutes or
as infrequently as once a day.
© Microsoft Corporation Azure
 Azure Sentinel Analyse – Kusto Querys
Bei der in Azure Monitor verwendeten Abfragesprache Kusto wird die Groß-/Kleinschreibung berücksichtigt.

search in (SecurityEvent) "Cryptographic"

| take 10

„sort“ und „top“

SecurityEvent
| sort by TimeGenerated desc

SecurityEvent
| top 10 by TimeGenerated

where: Filtern nach einer Bedingung

SecurityEvent
| where Level == 8
| where EventID == 4672

Using KQL functions to speed up analysis in Azure Sentinel - Microsoft Tech Community
Anpassung - Alert Rules

Erstelle /Bearbeite Alarmregeln

8. Set the Period to control the time window for how much data the query runs on - for
example, it can run every hour across 60 minutes of data.
9. You can also set the Suppression. Suppression is useful when you want to stop
duplicate alerts from being triggered for the same incident.
10. After you paste your query into the Set alert rule field, you can immediately see a
simulation of the alert under Logic alert simulation so that you can gain understanding
of how much data will be generated over a specific time interval for the alert you
created.
11. Click Create to initialize your alert rule. After the alert is created, a case is created that
contains the alert. You can see the defined detection rules as rows in the Security
Analytics tab. You can also see the number of matches for each rule - the alerts
triggered.
12. The results of the alert rules can be seen in the Cases page, where you can triage,
investigate cases, and remediate the threats.

© Microsoft Corporation Azure

 Azure Sentinel – Erstellen von „Alert Rules“ für M365 Tenant
Wechseln Sie im Azure-Portal zu Azure Sentinel und verwenden Sie dann unter Konfiguration > Analytics die
folgenden Richtlinien, um Regeln basierend auf den Standardregelvorlagen zu erstellen:

Create incidents from alerts in Azure Sentinel | Microsoft Docs

Detect threats with built-in analytics rules in Azure Sentinel | Microsoft Docs
 Azure Sentinel – Azure AD „Alert Rules“

• Anomalous sign-in location by user account and authenticating application

• Brute force attack against Azure Portal
• Distributed Password cracking attempts
• Sign-ins from IPs that attempt sign-ins to disabled accounts
• Attempts to sign in to disabled accounts
• Successful logon from IP and failure from a different IP
• Failed login attempts to Azure Portal
• Attempt to bypass conditional access rule in Azure AD
 Azure Sentinel – M365 „Alert Rules“
Regeln, die Vorfälle in Azure Sentinel basierend auf Warnungen erstellen, die von den Microsoft 365-
Sicherheitstools ausgelöst werden:

• Create incidents based on Azure Active Directory Identity Protection alerts

• Create incidents based on Microsoft Cloud App Security alerts
 Azure Sentinel – M365 „Alert Rules“

Wenn entsprechende Microsoft-Sicherheitsprodukte bereits vom Kunden außerhalb des Azure Sentinel
Workshop-Engagements bereitgestellt und konfiguriert wurden und im vorherigen Schritt Konnektoren
zu diesen aktiviert wurden, empfehlen wir außerdem, die folgenden Regeln zu erstellen:

• Create incidents based on Azure Advanced Threat Protection

• Create incidents based on Azure Security Center
• Create incidents based on Microsoft Defender Advanced Threat Protection
 Azure Sentinel – Custom „Alert Rules“

Wechseln Sie im Azure-Portal zu Azure Sentinel und

dann zu Konfiguration > Analytics
Analyse von
Sicherheitsvorfällen
 Analyse von Incidents
Threat Hunting
Sobald ein Angriff grafisch dargestellt wurde, kann ein Analyst die
abgefragten Diagrammdaten in den Log Query Viewer aufnehmen, um die
Abfrageergebnisse zu markieren und in einer Kampagne mit Tags zu
speichern und die Ergebnisse zurück auf den Fall anzuwenden, um die
Untersuchung abzuschließen.

Sobald eine Untersuchung validiert wurde, ist es der nächste Schritt,

entweder manuell oder durch Automatisierung ein PlayBook zur Ausführung
auszuwählen und das Playbook der gegebenen Warnung für die zukünftige
Ausführung zuzuweisen, um den Arbeitsaufwand zu verringern, den ein
Analyst bei einer Warnung von leisten muss Dieser Typ wird erneut
ausgelöst.

Investigate incidents with Azure Sentinel | Microsoft Docs

Hunting capabilities in Azure Sentinel | Microsoft Docs
Microsoft Azure Notebooks

© Microsoft Corporation Azure

Gegenmaßnahmen
 Gegenmaßnahmen auf Basis von LogicApp (serverless)

! Security Products

Ticketing Systems
Erstellen Sie automatisierte (ServiceNow)

und skalierbare Playbooks,

Additional tools
die integriert werden können
 Gegenmaßnahmen mit PlayBooks

Gegenmaßnahmen mit PlayBooks

• Ein PlayBook ist eine Sammlung von Verfahren, die von
Azure Sentinel als Reaktion auf eine Warnung ausgeführt
werden können.

• Ein Sicherheitswiedergabebuch kann dabei helfen, Ihre

Antwort zu automatisieren und zu koordinieren.

• Playbooks in Azure Sentinel basieren auf Azure Logic Apps.

utorial: Use playbooks with automation rules in Azure Sentinel | Microsoft Docs

© Microsoft Corporation Azure

 Azure Logic App über Azure Sentinel Playbooks
Wechseln Sie im Azure-Portal zu Azure Sentinel und
dann zu Konfiguration > Playbooks.

Verwenden Sie die folgenden Richtlinien, um ein

Playbook mit dem Namen
"AzureSentinelWorkshopNotificationEmail" (im selben
Arbeitsbereich und in derselben Ressourcengruppe wie
Azure Sentinel) zu erstellen:

Tutorial: Use playbooks with automation rules in Azure

Sentinel | Microsoft Docs

Das Playbook sollte Benachrichtigungen per E-Mail

senden, mit einer einfachen Logik ähnlich dem Beispiel
(siehe Abb.)
 Customer Ready Playbooks zu Azure Sentinel auf GitHub

Azure-Sentinel/Playbooks at master · Azure/Azure-Sentinel · GitHub

 Weiterführende Informationen zu Azure Sentinel

© Microsoft Corporation Azure

Weiterführende
Informationen
Getting started – Cloud Security Playbook
 Tutorial - Azure Sentinel

Schnellstart: Ausführen des Onboardings für Azure Sentinel | Microsoft Docs

 Azure Sentinel Level 400 Ninja Training

Become an Azure Sentinel Ninja: The complete level 400 training - Microsoft Tech Community
 Azure Sentinel Community

Azure Sentinel - Microsoft Tech Community

 Feature Request über Partner OneList

OneList Feedback (microsoft.com)

 WW Security Community
https://aka.ms/SecurityCommunity

Product Recordings of Past Webinars

Azure Security Center for IoT https://aka.ms/ASCIoTRecordings

Azure Advanced Threat Protection https://aka.ms/AATPRecordings

Azure Sentinel http://aka.ms/AzureSentinelRecordings

Azure Information Protection https://aka.ms/AIPRecordings

Microsoft Cloud App Security https://aka.ms/MCASRecordings

Security Intelligence Report https://aka.ms/SIRRecordings

 Modern Workplace – Azure Cloud Security Mai 2021

Öffentliche Quellen Empfohlene Inhalte für Selbststudien

MW Community https://aka.ms/mw-community Einführung in die Azure-Sicherheit Doc

News

Gemeinsame Verantwortung in der Cloud Doc

Modern Workplace Construction Kit​
Hub-Spoke Network Topology in Azure - Reference Architecture Doc

Introductory
Modern Workplace 1:Many Trainingsübersicht
Bereitstellen und Konfigurieren von Azure Firewall über das Azure-Portal Tutorial
Deployment Check Point CloudGuard WAF/ISV Offering für Azure Doc
Security Partner Landingpage Deployment Fortinet FortiWeb WAF/ISV Offering für Azure Doc
WW Security Community Deployment Barracuda CloudGen WAF/ISV Offering für Azure Doc

<<
Stephanus Blog, incl. Übersicht Champ Calls Deployment Palo Alto NextGen Firewall VM-Series WAF/ISV Offering für Azure Doc
Überwachen von Azure-Ressourcen mit Azure Monitor Doc
Stephanus‘ Security & Compliance Ignite Playlist

Intermediate
Was ist Azure Security Center? Doc
Virtual instructor-led trainings (für Zertifizierungen)
Blogs and useful links

Verwenden von Azure Security Center zum Überwachen virtueller Windows-Computer Tutorial
M365 Roadmap
Schnellstart: Ausführen des Onboardings für Azure Sentinel Tutorial
Microsoft Security Intelligence Report 24 – CY2018
Azure Sentinel –3rd Party Connector “Bibel” Blog

<<
Microsoft Security Blog Erste Schritte mit Kusto Doc
Enterprise Mobility & Security Blog Untersuchen von Vorfällen mit Azure Sentinel Tutorial
Advanced
Microsoft Datenschutz Statement Suchen nach Bedrohungen mit Azure Sentinel Doc

Cybersecurity Reference Architecture Erstellen und Ausführen einer Jupyter Notebook-Datei mit Python Tutorial

EMS Mechanics
Erstellen und Ausführen einer Jupyter Notebook-Datei mit Python Tutorial
Microsoft GDPR / DSGVO Einrichten automatisierter Reaktionen auf Bedrohungen in Azure Sentinel Tutorial
MW / EMS Demo Environment Azure Sentinel Level 400 Ninja Training Online Training

Matt Partl [email protected]

 Partner Support – Azure Cloud Security

Partner Technical Service:

https://aka.ms/tpdmsform.
Viele Dank für die Aufmerksamkeit

Kontakt:

[email protected]