Microsoft Sentinel: Cloud-basierte Netzwerksicherheit

Seminarziel

Am Ende des Seminars verfügen die Teilnehmenden über ein fundiertes Verständnis von Microsoft Sentinel und können dessen grundlegende sowie fortgeschrittene Funktionen anwenden, um ihre Netzwerke effektiv zu überwachen und zu schützen. Sie lernen, wie Sentinel sich von anderen SIEM-Lösungen unterscheidet und wie sie die Plattform effektiv in ihre bestehenden Sicherheitsinfrastrukturen integrieren können.

Inhalt

• Einführung in Microsoft Sentinel
  • Was ist Microsoft Sentinel? Überblick über Microsoft Sentinel als cloudbasierte SIEM- und SOAR-Lösung.
  • Funktionen und Stärken: Skalierbarkeit, Integration mit Microsoft- und Drittanbieter-Diensten, KI-gestützte Bedrohungserkennung und Automatisierungsmöglichkeiten.
  • Einsatzmöglichkeiten: Sicherheitsüberwachung, Bedrohungserkennung, Incident Response, Compliance und Reporting.
• Vergleich mit ähnlichen Systemen
  • Microsoft Sentinel vs. Splunk: Unterschiede in der Bereitstellung, Kostenstruktur und Integration mit Microsoft-Ökosystemen.
  • Microsoft Sentinel vs. IBM QRadar: Vergleich der Funktionen, Skalierbarkeit und Benutzerfreundlichkeit.
  • Microsoft Sentinel vs. ArcSight: Unterschiede in der Architektur, Bedrohungsanalyse und Automatisierung.
  • Wann Microsoft Sentinel die beste Wahl ist: Besonders geeignet für Unternehmen, die stark in Microsoft-Umgebungen integriert sind und eine flexible, skalierbare SIEM-Lösung suchen.
• Grundlagen der Nutzung von Microsoft Sentinel
  • Plattformübersicht: Einführung in die Benutzeroberfläche und grundlegende Navigation.
  • Installation und Einrichtung: Schritt-für-Schritt-Anleitung zur Einrichtung von Microsoft Sentinel in Azure.
  • Datenquellen verbinden: Integration von Datenquellen wie Azure AD, Office 365, Firewalls, Endpoint Protection und Drittanbieter-Tools.
  • Grundlegende Konzepte: Workspaces, Datenconnectoren, Analysen, Dashboards und Berichte.
• Praxisübung 1: Einrichtung von Microsoft Sentinel
  • Ziel der Übung: Installation und grundlegende Konfiguration von Microsoft Sentinel in einem Azure-Umfeld.
  • Projektbeschreibung: Erstellen eines neuen Sentinel-Workspaces, Verbinden grundlegender Datenquellen und Konfigurieren von Dashboards.
  • Tools: Azure-Portal, Microsoft Sentinel.
  • Ergebnisse: Ein funktionsfähiger Sentinel-Workspace mit integrierten Datenquellen und ersten Dashboards.
• Erweiterte Datenanalyse und Bedrohungserkennung
  • KQL (Kusto Query Language): Grundlagen der Abfragesprache zur Datenanalyse in Sentinel.
  • Erstellung benutzerdefinierter Abfragen: Entwickeln von Abfragen zur Identifikation spezifischer Bedrohungen und Anomalien.
  • KI-gestützte Bedrohungserkennung: Nutzung von maschinellem Lernen und KI-Modellen zur automatischen Erkennung von Bedrohungen.
• Praxisübung 2: Erstellung und Anwendung benutzerdefinierter Abfragen
  • Ziel der Übung: Entwicklung und Implementierung benutzerdefinierter KQL-Abfragen zur Bedrohungserkennung.
  • Projektbeschreibung: Schreiben von Abfragen zur Identifikation von verdächtigen Aktivitäten und Analyse von Sicherheitsvorfällen.
  • Tools: Microsoft Sentinel, KQL-Editor.
  • Ergebnisse: Mehrere benutzerdefinierte Abfragen zur effektiven Bedrohungserkennung und -analyse.
• Automatisierung und Orchestrierung mit Playbooks
  • Einführung in Playbooks: Was sind Playbooks und wie unterstützen sie die Automatisierung von Sicherheitsprozessen.
  • Erstellung von Automatisierungsregeln: Konfiguration von Regeln zur automatischen Reaktion auf erkannte Bedrohungen.
  • Integration mit Azure Logic Apps: Nutzung von Azure Logic Apps zur Erstellung komplexer Automatisierungsabläufe.
• Praxisübung 3: Entwicklung eines Playbooks für Incident Response
  • Ziel der Übung: Erstellung eines automatisierten Playbooks zur Reaktion auf spezifische Sicherheitsvorfälle.
  • Projektbeschreibung: Entwickeln eines Playbooks, das bei der Erkennung eines bestimmten Bedrohungstyps automatisch Maßnahmen ergreift.
  • Tools: Azure Logic Apps, Microsoft Sentinel.
  • Ergebnisse: Ein funktionierendes Playbook, das automatisch auf erkannte Sicherheitsvorfälle reagiert.
• Sicherheitsberichte und Compliance
  • Erstellung von Dashboards und Berichten: Nutzung von Sentinel zur Erstellung aussagekräftiger Sicherheitsberichte.
  • Compliance-Management: Implementierung von Compliance-Standards und Nutzung von Sentinel zur Überwachung der Einhaltung.
  • Audit und Protokollierung: Verwaltung und Analyse von Audit-Logs zur Sicherstellung der Compliance und Nachverfolgung von Sicherheitsvorfällen.
• Zukunft der Netzwerksicherheit mit Microsoft Sentinel
  • Neue Technologien und Trends: KI, maschinelles Lernen und erweiterte Bedrohungsanalysen in Sentinel.
  • Integration mit weiteren Microsoft-Diensten: Nutzung von Microsoft 365 Defender, Azure Security Center und anderen Sicherheitsdiensten.
  • Community und Weiterentwicklung: Beteiligung an der Microsoft Sentinel-Community und Nutzung von Open-Source-Tools und -Erweiterungen.