• Linkedin
  • Xing
  • Youtube
  • Twitter
+49 89 324756-0 info@infowan.de teamviewer-logoTeamViewer
infoWAN
  • Leistungen
    • Consulting
      • Strategieberatung
      • Migration
      • FastTrack
      • Adoption & Change Empowerment
    • Workshops
      • Teams Einführungs- und Vertiefungsangebote
      • Teamwork Assessment
      • Secure Remote Work Workshop
      • IT-Security und Compliance Workshop
      • Compliance Workshop
      • Office 365 Readiness Network Assessment
      • Client-Security-Workshops
      • Azure Workshops
      • Identity Workshop
      • Future of Identity
      • Rapid Cyberattack Assessment
    • Managed Services
      • GUMS
      • Azure VM
      • Service & Support
  • Expertise
    • Technologien
      • Microsoft 365
      • Office 365
      • Teams
      • Teams FAQ
      • Skype for Business
      • Exchange
      • SharePoint
      • Cloudsignatur
    • Technologien
      • Windows 10
      • Active Directory
      • Windows Server
      • Azure
      • EM+S
      • Intune
      • Cloudfax
    • Lösungen
      • Modernes Arbeiten
      • Sichere Infrastruktur
  • Referenzen
      • Neoperl
      • Kerberos Compliance-Managementsysteme
      • Serviceplan
      • Evernine
      • Daimler AG
      • KE-TEC
      • erdgas schwaben
      • Landratsamt Dachau
      • Aenova
      • Sixt
      • SubAqua
      • Landkreis Landshut
  • Karriere
      • Jobs
      • Fort- und Weiterbildungen
      • Das sagen unsere Mitarbeiter
  • Über uns
      • Kompetenzen
      • Standorte
      • Partner
      • Impressum
      • Datenschutz
  • Blog
  • Kontakt
  • Suche
  • Menü

Microsoft Threat Protection – Unified Hunting

2. März 2020/von Christian Müller

Wenn Sie Security Incidents bearbeiten, sind Informationen entscheidend. Genauso wichtig ist: Korrelation. Der Wert von Daten steigt deutlich, wenn Sie sie mit anderen Signalen in Verbindung bringen können. Auf der Ignite 2018 hat Microsoft „Microsoft Threat Protection“ (MTP) als Oberbegriff für seine ATP-Reihe (O365 ATP, Azure ATP, Defender ATP) angekündigt.

Seitdem hat Microsoft diese Dienste stetig weiter ausgebaut. Jetzt ist MTP nicht mehr nur ein Oberbegriff, sondern eine konkrete technische Funktion, die nun global verfügbar ist. Advanced Hunting, automatisierte Untersuchungen und korrelierte Vorfälle können Sie jetzt über Office- und Endpunkt-Daten hinweg ausführen.

In diesem Blog stelle ich Ihnen die Möglichkeiten des Unified Advanced Hunting vor.

MTP aktivieren

Zuerst müssen Sie auf die Opt-in-Seite gehen, die Sie hier finden:
https://security.microsoft.com/enable_mtp/mtp_consent

Auf der Einstellungsseite wählen Sie „Turn on Microsoft Threat Protection“ und bestätigen die Auswahl über die Schaltfläche „Save“.

Turn on Microsoft Threat Protection

Hinweis

Bitte beachten Sie die Servicebedingungen, die Microsoft in der Beschreibung unter dem Opt-in-Schalter erwähnt, bevor Sie MTP aktivieren.

Lassen Sie uns nach der Aktivierung zu Advanced Hunting unter https://security.microsoft.com/hunting wechseln.

Das Layout ist ziemlich geradlinig. Auf der linken Seite erhalten Sie eine Schemareferenz (1) zum Nachschlagen von Tabellennamen und Spalten. Im Eingabefeld oben rechts (2) werden Queries geschrieben, rechts unten (3) wird die jeweilige Ausgabe angezeigt.

Advanced Hunting overview

Wie Sie auf dem Screenshot sehen können, unterliegt Advanced Hunting, wie auch viele andere Dienste, häufigen Änderungen. Derzeit arbeitet Microsoft an der Fertigstellung des Schemas, um es an die verschiedenen Datenquellen von Microsoft Threat Protection anzupassen.

Sie finden die Ankündigung hier: https://techcommunity.microsoft.com/t5/Microsoft-Defender-ATP/Advanced-hunting-data-schema-changes/ba-p/1043914

Um es kurz zu machen: Das Präfix jedes Tabellennamens gibt die Datenquelle an.

Data sourcePrefixExample
Microsoft Defender ATPDeviceDeviceProcessEvents
Office 365 ATPEmailEmailAttachmentInfo
Microsoft Cloud App Security + Azure ATPAppAppFileEvents

Wenn Sie diesen Beitrag zu einem späteren Zeitpunkt lesen, sind diese Änderungen wahrscheinlich bereits umgesetzt. Jede Tabelle besteht aus mehreren Spalten, die die eigentlichen Informationen enthalten. EmailAttachmentInfo enthält z. B. die folgenden Spalten:

  • Timestamp
  • AttachmentId
  • NetworkMessageId
  • SenderFromAddress
  • RecipientEmailAddress
  • RecipientObjectId
  • FileName
  • FileType
  • SHA256
  • MalwareFilterVerdict
  • MalwareDetectionMethod

Jede Tabelle hat verschiedene Spalten, die sich jedoch bei den gängigsten Informationstypen manchmal überschneiden.

Hier ist ein Beispiel, wie eine Abfrage aussehen könnte. In diesem Fall wird nach pnp-Events gesucht, die von Massenspeichergeräten erzeugt werden:

Advanced hunting query

Es ist ziemlich einfach, eigene Queries zu erstellen. Sich komplett zurechtzufinden dauert aber eine Weile, länger als in einem Blog-Beitrag dargestellt werden kann. Wenn Sie mehr wissen wollen, gibt es dazu von Microsoft veröffentlichte Ressourcen:

Kurze Einführung: https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/advanced-hunting-query-language

Vollständige Kusto Query Language (KQL)-Dokumentation: https://docs.microsoft.com/en-us/azure/kusto/query/

Das MDATP-Schema

Das erweiterte MDATP Advanced Hunting-Schema existiert schon seit geraumer Zeit. Abgesehen von der Umbenennung, um die von MTP vorgenommenen Ergänzungen widerzuspiegeln, hat sich nicht viel geändert.

TabelleBeschreibung
DeviceInfoAllgemeine Information über Maschinen wie Computername, Betriebssystem-Build, angemeldete Benutzer…
DeviceNetworkInfoNetzwerkkonfiguration von Maschinen (Adapter, IP- und MAC-Adressen, …)
DeviceProcessEventsProzesserstellung und zugehörige Ereignisse
DeviceNetworkEventsNetzwerkverbindungsereignisse
DeviceFileEventsEvents im Zusammenhang mit der Erstellung, Änderung, …
DeviceRegistryEventsErstellung und Änderung von Registry-Einträgen
DeviceLogonEventsBenutzeranmeldung und Authentifizierungsereignisse
DeviceImageLoadEventsDLL-Ladeereignisse
DeviceEventsVerschiedene Geräteereignisse, insbesondere im Hinblick auf Sicherheitskontrollen (Application Control, Windows Firewall usw.)
DeviceTvmSoftwareInventoryVulnerabilitiesSoftware-Inventar und Schwachstellen, die von Threat & Vulnerability Management (TVM) bereitgestellt werden (vgl. https://infowan.de/threat-vulnerability-management-hoehere-client-sicherheit-mit-mdatp/)
DeviceTvmSoftwareVulnerabilitiesKBListe der Schwachstellen von TVM
DeviceTvmSecureConfigurationAssessmentAssessment-Ereignisse für bestimmte Sicherheitskonfigurationen von TVM
DeviceTvmSecureConfigurationAssessmentKBInformationen über sichere Konfigurationen (einschließlich Risikoinformationen, Branchen-Benchmarks und MITRE ATT&CK-Techniken)

Das OATP-Schema

Das Office 365 ATP-Schema wurde mit der (Vorschau-)Veröffentlichung von MTP hinzugefügt. Es verwendet Office 365-Mail-Daten.

TabelleBeschreibung
EmailEventsAllgemeine Informationen über E-Mail
EmailAttachmentInfoInformationen über E-Mail-Anhänge
EmailUrlInfoInformationen über URLs in E-Mails

Hinweis

Wenn Sie mehr über Mail-Hunting erfahren möchten, schauen Sie sich den Blog-Post von Alex Verboon an: Microsoft Threat Protection – Using advanced hunting to see what’s going on with your mail.

Nützliche Queries

Microsoft veröffentlicht einige Anfragen in seinem offiziellen GitHub-Repository: https://github.com/microsoft/WindowsDefenderATP-Hunting-Queries

Ich bin kein großer Fan der Auflistung von vordefinierten Queries, da diese in den meisten Fällen ohnehin an Ihre eigene Umgebung angepasst werden müssen. Hier sind jedoch einige Anwendungsfälle, die durch Advanced Hunting verbessert werden können:

  • Überwachen Sie Ihre Windows-Firewall-Konfiguration mit Hilfe von Daten aus der Tabelle DeviceNetworkEvents.
  • Überwachen Sie Ihre Application Guard / AppLocker-Konfiguration mit Hilfe der Tabelle DeviceEvents.
  • Verwenden Sie EmailEvents, EmailAttachmentInfo und EmailUrlInfo, um Office 365 ATP-Aktionen zu überwachen, z. B. Zustellaktionen, erkannte Malware und Phishing sowie URL-Informationen von ATP-Safe-Links. Ich persönlich finde Advanced Hunting viel bequemer als die Verwendung des Threat Explorers im „alten“ Sicherheits- und Compliance-Center.
  • Sie können Hunting auch verwenden, um festzustellen, ob Benutzer Sicherheitswarnungen, die zum Beispiel von SmartScreen ausgelöst wurden, überschrieben haben.
  • Wenn Sie nicht in der Lage sind, externe Massenspeichergeräte zu blockieren, können Sie die Hunting-Funktion verwenden, um die Exfiltration von Bulkdaten zu erkennen. Dies kann als Teil Ihrer allgemeinen DLP-Konfiguration verwendet werden.
  • Überprüfen Sie den Update-Status für Betriebssystem und Virenschutz.
  • Überwachen Sie lokale Administratoren und administrative Anmeldungen.
  • Natürlich können Sie auch einfach nach Indikatoren für eine Kompromittierung im gesamten Unternehmen suchen, wenn ein bestimmter Incident aufgetreten ist.

In einem zukünftigen Beitrag werde ich auf einige dieser Szenarien näher eingehen.

Fazit

Wissen ist Macht: Nichts beschreibt besser, was Advanced Hunting in Microsoft Threat Protection dem Security-Personal bietet. Viele Szenarien wurden bereits in Defender ATP abgedeckt, doch mit der Integration von Office 365 ATP-Daten (in Zukunft gefolgt von MCAS und Azure ATP) können Sie diese nun für zentralisierte Queries in Ihren wichtigsten Cloud-gestützten Abwehrsystemen verwenden.

Danke fürs Lesen!

Christian Müller

Die englische Version des Artikels finden Sie im Blog unseres Kollegen Christian Müller:

https://chrisonsecurity.net/2019/12/15/microsoft-threat-protection-unified-hunting/

infoWAN Datenkommunikation GmbH

Parkring 29
85748 Garching b. München

Tel: +49 89 324756-0
Fax: +49 89 324756-99

infoWAN Newsletter

Erhalten Sie regelmäßig Tipps, Best Practises und Neuigkeiten von Microsoft und infoWAN.

Anmeldung Newsletter
© 2015-2021 infoWAN Datenkommunikation GmbH
  • Linkedin
  • Xing
  • Youtube
  • Twitter
  • Impressum
  • Datenschutz
  • Office 365
  • Teams
RSA 2020 – was ist neu? KonferenzPhoto by Headway on Unsplash Team freut sich infoWAN mit Security Kompetenz
Nach oben scrollen