Experts live Austria
  • Home
  • Über Experts Live
    • Mach mit!
    • Code of Conduct
  • Konferenzen
    • Konferenz 2022 Juni
    • Archiv Konferenz 2021 - 2
    • Archiv Konferenz 2021 - 1
  • Café
    • Café Azure Wien 08.02.2023
    • Café PowerShell virtuell 23.02.2023
  • Workshops
    • Erster Workshop - Power Shell Fundamentals
  • Archiv
    • Café PowerShell Linz 09.11.22
    • Ignite After Party 2022
    • Café Azure Hybrid 14. September 2022
    • Café Security 10. Mai 2022
    • Café Azure Hybrid Monitoring 15. Februar 2022
    • Café Azure Security 22. September 2021
    • Café PowerShell und ARM Juli 2021
    • Café Azure-Cloud 1. Juni 2021
    • Café PowerShell Mai 2021
    • Café virtuell 11. März 2021
    • Café virtuell 29.10.2020
    • Café virtuell 9. Juni 2020
    • Café Wien 12.03.2020
    • Café Ried 10.03.2020
    • Cafe Linz 11.07.19
    • Café Wien 09.07.19
    • Café Wien 11.04.19
    • Café Salzburg 09.04.19
    • Café Linz 07.03.2019
    • Café Wien 26.02.2019
    • Café Wien - Xamarin 19.11.2018
    • Konferenz 2018
    • Café Linz 15.10.2018
    • Café Wien 03.10.2018
    • Café Linz 13.06.2018
    • Café Wien 21.03.2018
    • Konferenz 2017
  • Sponsoren
  • Das ORG-Team
Bild

Kurz-Rückblick zum "Security" ​CAFÉ

Einen wahrlich „sicheren Abend“ gab’s bei diesem Expertslive Café virtuell. Denn das stand ganz im Zeichen der IT-Security.
Organisator Hannes Lagler-Grüner (MVP) hatte für dieses Café zum Thema Security gleich drei „coole“ Microsoft-Speaker aufgestellt:
Miriam Wiesner
Senior Security Researcher bei Microsoft und Teil des Teams, das die Detections für den Microsoft 365 Defender entwickelt
Tom Janetschek
Senior Program Manager in der Entwicklung von Microsoft Defender for Cloud

Stefan Ringler
Security Technical Specialist in der Microsoft Pre-Sales organization
Der Event wurde via Teams gestreamt. Auf Wunsch eines der Speaker gab es jedoch diesmal kein Recording. Das heißt, wer nicht live dabei war, kann diesmal leider keine Aufzeichnung nachschauen.
Hier noch die kurze Beschreibung der Sessions der, die drei Microsoft-Speaker gehalten haben:
"What the log?! So many events, so little time…“ - so lautete der Titel von Miriam Wiesners Session rund um die von ihr erarbeitete Automatisierungshilfe EventList. Miriam beschrieb den Inhalt ihrer Live-Demo-Session zuvor so:
Angreifer in der eigenen IT-Umgebung zu erkennen, ist eine anspruchsvolle Aufgabe: Die meisten Unternehmen brauchen Monate, um sie zu entdecken... WENN sie sie überhaupt entdecken. Viele Unternehmen haben damit begonnen, den Windows Event Log zu untersuchen, um ihre Erkennung zu verbessern. Aber die Analyse von Ereignisprotokollen ist mühsam: Es werden so viele Informationen in verschiedenen Protokolldateien gesammelt und so viele Daten müssen korreliert werden.
Bild
Bild
Bild
Bild
Um die Sicherheit zu verbessern, empfiehlt Microsoft die Verwendung der „Microsoft Security Baselines". Mit dieser werden aber noch mehr Ereignisse generiert, zudem ist eine Menge an Speicherplatz notwendig, um alle diese Ereignisse an einem Ort zu sammeln. Speicherplatz, der mit zusätzlichen Kosten verbunden ist. Nicht alle Unternehmen sind in der glücklichen Lage, Petabytes an Protokolldateien zu speichern. Daher müssen sie filtern, welche Ereignis-IDs wichtig genug sind, um sie an ihr SIEM-System weiterzuleiten.

Aber welche Ereignisse werden erzeugt, wenn Sie eine bestimmte Microsoft Security Baseline anwenden? Welche sind wichtig genug, um weitergeleitet zu werden und wertvollen Speicherplatz zu belegen? Und was machen Sie mit all den Daten, wenn Sie alles an einem Ort gesammelt haben?
​
In dieser Live-Demonstration zeige ich, wie diese Probleme zu lösen sind, indem Ereignis-IDs, Sicherheits-Baselines und Suchanfragen mit dem MITRE ATT&CK-Framework abgeglichen werden.

Tom Janetschek widmete sich dann dem Thema „Automate(d) Security with Microsoft Defender for Cloud“:
Microsoft Defender for Cloud bietet verschiedene Automatisierungsfunktionen, die dabei helfen, die Hybrid-Cloud-Anlage zu schützen und abzusichern, Einblicke in Warnmeldungen und die Sicherheitslage zu gewinnen und auf Bedrohungen zu reagieren, sobald sie auftreten.
​
Ich führe in meiner Session durch die verschiedenen Automatisierungsoptionen von Defender for Cloud und präsentiere Ideen für die eigene Automatisierung auf Grundlage von Logic Apps, Workflow-Automatisierung, REST APIs, Continuous Export und KQL.
Bild
Bild
Bild
Bild

Und schließlich präsentierte Stefan Ringler in seiner Session folgendes:
Microsoft Sentinel - wie UEBA die SOC-Effizienz steigert
Was ist UEBA, warum ist es wichtig, und wie hilft es unserem SOC-Team, Bedrohungen zu erkennen? Was ist neu und was kommt als nächstes!

Bild
Bild
Bild
Bild
Ein Dankeschön an den Organisator, die Vortragenden und an alle, die live virtuell dabei waren!

 

Kontakt
Impressum
  • Home
  • Über Experts Live
    • Mach mit!
    • Code of Conduct
  • Konferenzen
    • Konferenz 2022 Juni
    • Archiv Konferenz 2021 - 2
    • Archiv Konferenz 2021 - 1
  • Café
    • Café Azure Wien 08.02.2023
    • Café PowerShell virtuell 23.02.2023
  • Workshops
    • Erster Workshop - Power Shell Fundamentals
  • Archiv
    • Café PowerShell Linz 09.11.22
    • Ignite After Party 2022
    • Café Azure Hybrid 14. September 2022
    • Café Security 10. Mai 2022
    • Café Azure Hybrid Monitoring 15. Februar 2022
    • Café Azure Security 22. September 2021
    • Café PowerShell und ARM Juli 2021
    • Café Azure-Cloud 1. Juni 2021
    • Café PowerShell Mai 2021
    • Café virtuell 11. März 2021
    • Café virtuell 29.10.2020
    • Café virtuell 9. Juni 2020
    • Café Wien 12.03.2020
    • Café Ried 10.03.2020
    • Cafe Linz 11.07.19
    • Café Wien 09.07.19
    • Café Wien 11.04.19
    • Café Salzburg 09.04.19
    • Café Linz 07.03.2019
    • Café Wien 26.02.2019
    • Café Wien - Xamarin 19.11.2018
    • Konferenz 2018
    • Café Linz 15.10.2018
    • Café Wien 03.10.2018
    • Café Linz 13.06.2018
    • Café Wien 21.03.2018
    • Konferenz 2017
  • Sponsoren
  • Das ORG-Team