Die Cyberbedrohungs-Landschaft entwickelt sich rasant weiter, und viele Indikatoren weisen auf ausgeklügeltere und schädlichere Angriffe hin. Eine kürzlich durchgeführte Analyse ergab, dass ein zunehmender Prozentsatz der Angriffe nicht auf Malware, sondern auf Tastatur-Aktivitäten zurückzuführen ist1. Solche Angriffe sind schwieriger zu erkennen und stellen die Security-Teams von heute vor eine echte Herausforderung: mit Bedrohungen Schritt zu halten.

Was wir brauchen, ist ein Ansatz zur Erkennung, der genauso schnell und wendig ist wie die Bedrohungsakteure. Angesichts der Vielfalt der Bedrohungen und der Notwendigkeit, schnell zu handeln, ist es von entscheidender Bedeutung, sich bei der Erkennung auf die wichtigsten Bedrohungen zu konzentrieren.

Fokussierte Abdeckung

Um dieser Security-Herausforderung zu begegnen, haben wir ein spezialisiertes Detection-Engineering-Team für MDR+ aufgebaut. Das Ziel unseres Teams ist es, die Erkennungsabdeckung systematisch zu erweitern und gleichzeitig ein ausgewogenes Verhältnis beim Herausfiltern von einfachen und komplexen Angriffen zu erreichen. Darum haben wir ein proprietäres Framework namens „Holistic Coverage Modell“ (ganzheitliches Abdeckungsmodell) entwickelt. Wir werden mehr darüber in einem zukünftigen Blogbeitrag schreiben. Zunächst finden Sie hier eine allgemeine Zusammenfassung:

  1. Ganzheitliche Abdeckung beginnt mit der Modellierung der relevantesten Bedrohungen. Dafür benutzen wir Branchen-Frameworks wie MITRE ATT&CK als Richtschnur.
  2. Die nächste Herausforderung ist, wie man diese Bedrohungen erkennt. Zwei Schlüsselaspekte für eine aktive Erkennung sind:
    • Daten: Das sorgfältige Zusammenstellen relevanter Log-Quellen aus der Kundenumgebung;
    • Technologie: Die effektive Bereitstellung und Verwendung von Security-Kontrollen.

So ermöglicht uns Holistic Coverage, die Abdeckung in den relevantesten Bereichen proaktiv zu erweitern. Die Bedrohungen, die wir mindern müssen, bestimmen die zu sammelnden Logs und die in MDR+ eingesetzten Kontrollen.

Einführung von Rapid Cover für MDR+

Der Wert der Fokussierung erstreckt über das Detection Engineering hinaus auf den allgemeinen Security-Betrieb (SecOps). Deshalb konzentriert sich unser MDR+ Service auf die Operationalisierung der Microsoft Security Suite. Mit Microsoft Security konsolidieren Unternehmen weltweit ihre SecOps auf einer universellen Multi-Cloud-Kontrollebene mit mehreren Geräten. Die Vorteile sind erheblich, darunter ein geringeres Risiko aufgrund geringerer Komplexität sowie Kosteneinsparungen durch Produktkonsolidierung.

Trotz Konsolidierung stellt die schnelle Operationalisierung der Security-Technologie eine enorme Herausforderung dar. Microsoft hat unübertroffene Einblicke in die Bedrohungslandschaft von Unternehmen und analysiert täglich mehr als 43 Billionen Security-Signale2, um seine XDR-Lösung voranzutreiben. Mit dieser Menge an Erkenntnissen entwickelt Microsoft Innovationen und leitet kontinuierliche Updates an die Erkennungslogik in einem branchenführenden Tempo weiter. Während die neue Erkennungslogik dazu beiträgt, mit den modernsten Bedrohungen Schritt zu halten, muss sie auch in Kundenumgebungen als Grundlage festgelegt sein, um Updates herauszufiltern, die zu viel Unnötiges melden.

Mit Rapid Cover für MDR+ können unsere Kunden neue Microsoft-Erkennungsupdates schnell und effizient nutzen.

Kunden profitieren in zwei Schlüsselbereichen:

  • Breitere und schnellere Erkennungsabdeckung: Kunden erleben nahezu in Echtzeit die Operationalisierung der neuen Erkennungslogik von Microsoft-Defender-Produkten.
  • Erhöhter ROI für Investitionen in Microsoft Security: Kunden können ihre Microsoft-Security-Lizenzen maximieren, um vorhandene Microsoft-Kontrollen effektiver zu nutzen und um zweckmässige neue Microsoft-Kontrollen zu erweitern, die sie möglicherweise erwerben und einsetzen.

Während unserer Rapid-Cover-Pilotphase war das Kundenfeedback überwältigend positiv. Es kommt nicht alle Tage vor, dass der CISO und der CFO von derselben Neuentwicklung begeistert sind!

Eine bessere und schnellere Abdeckung durch vorhandene Security-Investitionen ist überzeugend. Sie fragen sich vielleicht, warum andere Anbieter von MDR für Microsoft nicht eine solche Funktion anbieten?

Rapid Cover: Hinter den Kulissen

Die Integration neuer Microsoft-Security-Signale in Live-SecOps ist keine triviale Aufgabe – sie erfordert eine technische Architektur, die auf Agilität ausgelegt ist. Im Sinne der Transparenz, einem der Leitprinzipien des MDR+ Service, untersuchen wir im Folgenden, wie Rapid Cover neue Erkennungen nahezu in Echtzeit operationalisiert.

Eine zentrale technische Herausforderung ist sicherzustellen, dass neue, potenziell verrauschte Erkennungen den Betrieb nicht stören. Rapid Cover löst dieses Problem, indem der Service neue Erkennungen in einer Lernphase als Ausgangslage festlegt. So kann unser Detection-Engineering-Team die Effektivität der neuen Logik in tatsächlichen Kundenumgebungen schnell validieren und die Logik mit relevanten Filterungs- und Unterdrückungs-Regeln erweitern. Sobald der Genauigkeits-Schwellenwert für die Verwendung in SecOps erreicht ist, wird die neue Logik durch Rapid Cover aktiviert. Unser Team führt weiterhin das Monitoring der Leistung durch, mit zusätzlichen Optimierungen, falls erforderlich.

Wenn unser Detection Engineering Team sein Fokus auf mehrere Security-Suites aufteilen müsste, wäre es unmöglich, so schnell voranzukommen. Wir können nur aufgrund unseres einzigartigen Fokus auf den Microsoft Security Stack so schnell arbeiten.

Der Rapid-Cover-Prozess, von neuen Microsoft-Updates bis zur Verwendung im Live-Betrieb, wird im Folgenden zusammengefasst:


(1) Bereitgestellte und konfigurierte Microsoft-Security-Produkte

  • In der Kundenumgebung bereitgestellte und optimal konfigurierte Microsoft-Security-Produkte
  • (Kontinuierlich) Microsoft stellt seinen Kunden eine neue Erkennungslogik zur Verfügung, um Security in einer sich entwickelnden Bedrohungslandschaft aufrechtzuerhalten

(2) Rapid Cover

  • Automatisierungsregeln und Logik-Apps, die für den Kundenmandanten über die Deployment Pipeline von Mission Control eingesetzt werden
  • Automatisierungsregeln und Logik-Apps extrahieren Schlüsseldaten aus Vorfällen und bereiten Warnungen zur Verarbeitung durch die MDR+ Pipeline vor
  • Logik-Apps werden verwendet, um Vorfälle mit geringer Genauigkeit oder für die Security nicht relevante Vorfälle automatisch zu beheben.

(3) MDR+ Pipeline

  • Vorfälle beim Kundenmandanten werden von Komponenten der MDR+ Pipeline verarbeitet
  • In dieser Phase werden Filterregeln angewendet, um gefilterte Vorfälle automatisch zu beheben
  • Lernen: Vorfälle werden an Mission Control zur Einrichtung von Richtwerten weitergeleitet
  • Produktion: Vorfälle beginnen mit der Generierung von Tickets

(4) MDR+ Service

  • Lernen: SOC-Ingenieure setzen den Optimierungsprozess fort, indem sie Filterungs- und Unterdrückungs-Regeln nutzen, um unsere Schwellenwertgenauigkeit zu erreichen
  • Produktion: MDR+ behandelt Kundenvorfälle und arbeitet im Kundenmandanten, um diese nach Bedarf anzuzeigen, zu untersuchen und zu reagieren. Kontinuierliche Optimierung erfolgt nach Bedarf.

Unermüdlich in unserer Arbeit

Mit modernen Bedrohungsakteuren und Angriffen Schritt zu halten erfordert Geschwindigkeit und Genauigkeit bei der Erkennung. Kunden von MDR+ können mit Rapid Cover nahezu in Echtzeit Updates für Microsoft-Security-Produkte durchführen und sicherstellen, dass sie die neuesten Bedrohungen mindern und gleichzeitig ihre Investitionen in Microsoft Security maximieren können.

Quellen:
[1] https://www.securityweek.com/ransomware-related-data-leaks-nearly-doubled-2021-report 

[2] https://www.microsoft.com/security/blog/2022/08/02/microsoft-announces-new-solutions-for-threat-intelligence-and-attack-surface-management/