Kurz-Rückblick zum "Security" CAFÉ
Einen wahrlich „sicheren Abend“ gab’s bei diesem Expertslive Café virtuell. Denn das stand ganz im Zeichen der IT-Security.
Organisator Hannes Lagler-Grüner (MVP) hatte für dieses Café zum Thema Security gleich drei „coole“ Microsoft-Speaker aufgestellt:
Organisator Hannes Lagler-Grüner (MVP) hatte für dieses Café zum Thema Security gleich drei „coole“ Microsoft-Speaker aufgestellt:
Miriam Wiesner
Senior Security Researcher bei Microsoft und Teil des Teams, das die Detections für den Microsoft 365 Defender entwickelt |
Tom Janetschek
Senior Program Manager in der Entwicklung von Microsoft Defender for Cloud |
Stefan Ringler
Security Technical Specialist in der Microsoft Pre-Sales organization |
Der Event wurde via Teams gestreamt. Auf Wunsch eines der Speaker gab es jedoch diesmal kein Recording. Das heißt, wer nicht live dabei war, kann diesmal leider keine Aufzeichnung nachschauen.
Hier noch die kurze Beschreibung der Sessions der, die drei Microsoft-Speaker gehalten haben:
"What the log?! So many events, so little time…“ - so lautete der Titel von Miriam Wiesners Session rund um die von ihr erarbeitete Automatisierungshilfe EventList. Miriam beschrieb den Inhalt ihrer Live-Demo-Session zuvor so:
Angreifer in der eigenen IT-Umgebung zu erkennen, ist eine anspruchsvolle Aufgabe: Die meisten Unternehmen brauchen Monate, um sie zu entdecken... WENN sie sie überhaupt entdecken. Viele Unternehmen haben damit begonnen, den Windows Event Log zu untersuchen, um ihre Erkennung zu verbessern. Aber die Analyse von Ereignisprotokollen ist mühsam: Es werden so viele Informationen in verschiedenen Protokolldateien gesammelt und so viele Daten müssen korreliert werden.
|
Um die Sicherheit zu verbessern, empfiehlt Microsoft die Verwendung der „Microsoft Security Baselines". Mit dieser werden aber noch mehr Ereignisse generiert, zudem ist eine Menge an Speicherplatz notwendig, um alle diese Ereignisse an einem Ort zu sammeln. Speicherplatz, der mit zusätzlichen Kosten verbunden ist. Nicht alle Unternehmen sind in der glücklichen Lage, Petabytes an Protokolldateien zu speichern. Daher müssen sie filtern, welche Ereignis-IDs wichtig genug sind, um sie an ihr SIEM-System weiterzuleiten.
Aber welche Ereignisse werden erzeugt, wenn Sie eine bestimmte Microsoft Security Baseline anwenden? Welche sind wichtig genug, um weitergeleitet zu werden und wertvollen Speicherplatz zu belegen? Und was machen Sie mit all den Daten, wenn Sie alles an einem Ort gesammelt haben?
In dieser Live-Demonstration zeige ich, wie diese Probleme zu lösen sind, indem Ereignis-IDs, Sicherheits-Baselines und Suchanfragen mit dem MITRE ATT&CK-Framework abgeglichen werden.
Aber welche Ereignisse werden erzeugt, wenn Sie eine bestimmte Microsoft Security Baseline anwenden? Welche sind wichtig genug, um weitergeleitet zu werden und wertvollen Speicherplatz zu belegen? Und was machen Sie mit all den Daten, wenn Sie alles an einem Ort gesammelt haben?
In dieser Live-Demonstration zeige ich, wie diese Probleme zu lösen sind, indem Ereignis-IDs, Sicherheits-Baselines und Suchanfragen mit dem MITRE ATT&CK-Framework abgeglichen werden.
Tom Janetschek widmete sich dann dem Thema „Automate(d) Security with Microsoft Defender for Cloud“:
Microsoft Defender for Cloud bietet verschiedene Automatisierungsfunktionen, die dabei helfen, die Hybrid-Cloud-Anlage zu schützen und abzusichern, Einblicke in Warnmeldungen und die Sicherheitslage zu gewinnen und auf Bedrohungen zu reagieren, sobald sie auftreten.
Ich führe in meiner Session durch die verschiedenen Automatisierungsoptionen von Defender for Cloud und präsentiere Ideen für die eigene Automatisierung auf Grundlage von Logic Apps, Workflow-Automatisierung, REST APIs, Continuous Export und KQL. |
Ein Dankeschön an den Organisator, die Vortragenden und an alle, die live virtuell dabei waren!