Anleitung: Teams überwachen und Bedrohungen entdecken mit der neuen Microsoft-Sentinel-Integration

Mit der Ausbreitung von Microsoft Teams vergrößern sich auch dessen Angriffsflächen. Um die Sicherheit zu erhöhen, kann Teams nun an Microsoft Sentinel angebunden werden. Damit lassen sich der Sicherheitsstatus permanent überwachen und Bedrohungsanalysen erstellen. Folgende Schritte sind erforderlich:

Um Microsoft-Dienste mit Sentinel zu verbinden, stehen vorkonfigurierte Sentinel-Workbooks zur Verfügung. Im Fall von Teams kann wahlweise das Workbook „Microsoft Teams“ oder das Workbook „Office 365“ verwendet werden. Die Anbindung erfolgt über die Data Types OfficeActivity oder über die Logs von Microsoft Teams in Microsoft 365.

Im Microsoft Sentinel Content Hub gibt es verschiedene Vorlagen, und dazu zählt inzwischen auch das Template „Microsoft Sentinel for Teams“, allerdings noch in einer Preview-Fassung. Das Template installiert die Komponenten Analytics Rule, Hunting Query und Playbooks. Damit lässt sich Teams überwachen und nach Bedrohungen gefilterte Aufzeichnungen erstellen.

Die Installation ist dialoggeführt und einfach durchzuführen. Wenn die Einrichtung erfolgreich durchgelaufen ist, wird folgende Seite mit einer Übersicht aller installierten Komponenten angezeigt:

Welche Elemente werden mit Sentinel installiert?

1. Analytics

Analytics Rules dienen dazu, um Regeln zur Erkennung von Bedrohungen zu erstellen. Durch die Vorlage werden folgende zwei Regeln für Microsoft Teams erstellt:

  • External user added and removed in short timeframe
    Diese Regel schlägt an, wenn externe Benutzer zu einem Team hinzugefügt und dann innerhalb einer Stunde wieder entfernt werden.
  • Multiple Teams deleted by a single user
    Diese Regel zeigt an, wenn mehrere Teams innerhalb einer Stunde gelöscht werden.

Die Analyseregeln werden im deaktivierten Modus erstellt und können in der Galerie für Analyseregeln in Sentinel aktiviert beziehungsweise angepasst werden:

2. Hunting Queries: Mit Abfrage-Tools Bedrohungen suchen

Microsoft Sentinel stellt Abfragetools für die Suche nach Bedrohungen in den verbundenen Datenquellen bereit. So kann gezielt nach auffälligem Verhalten oder ungewöhnlichen Aktivitäten gesucht werden. Das Template installiert folgende Hunting Queries mit dem Fokus auf Microsoft Teams:

  • External user from a new organisation added to Teams
    Diese Abfrage identifiziert externe Benutzer, die zu Teams hinzugefügt wurden, wobei die Domäne des Benutzers bisher noch nicht verwendet wurde.
  • Multiple Teams deleted by a single user
    Diese Suchabfrage zeigt, wenn mehrere Teams von einem einzelnen Benutzer innerhalb eines kurzen Zeitraums gelöscht wurden.
  • Bots added to multiple Teams
    Diese Suchabfrage hilft dabei, Bots zu identifizieren, die in kurzer Zeit zu mehreren Teams hinzugefügt wurden.
  • User made Owner of multiple Teams
    Hier werden Benutzer identifiziert, die zu Eigentümern mehrerer Teams gemacht wurden.
  • Previously unseen bot or application added to Teams
    Neue und möglicherweise nicht genehmigte Anwendungen oder Bots, die zu Teams hinzugefügt wurden, werden mit dieser Abfrage identifiziert.
  • Files uploaded to Teams and access summary
    Diese Abfrage zeigt Dateien, die über einen Teams-Chat auf SharePoint hochgeladen wurden, und fasst die Benutzer und IP-Adressen zusammen, die auf diese Dateien zugegriffen haben. Dies ermöglicht die Identifizierung von anomalen Dateifreigabemustern.
  • User added to Team and immediately uploads file
    Hier werden Benutzer identifiziert, die zu einem Team oder Chat hinzugefügt wurden und innerhalb einer Minute nach dem Hinzufügen eine Datei über den Chat hochgeladen haben. Dies könnte ein Indikator für verdächtige Aktivitäten sein.

3. Playbooks: Maßnahmen bei Warnungen automatisieren

Bei Playbooks handelt es sich um eine Sammlung von Prozeduren, die als Reaktion auf eine Warnung oder einen Vorfall ausgeführt werden können. Mit einem Playbook können Maßnahmen automatisiert werden, wenn bestimmte Warnungen oder Vorfälle erkannt werden.

Ein Knackpunkt beim Setupschritt Playbook ist, dass ein Benutzer hinterlegt werden muss, der das Recht hat sich mit der Teams API zu verbinden (siehe Screenshot).

Dazu muss diesem Benutzer Zustimmung (Consent) erteilt werden. Ein simpler Weg das zu tun ist hier beschrieben: https://docs.microsoft.com/en-us/graph/auth-v2-user#consent-experience. Dabei meldet man sich mit dem Benutzer an, der verwendet werden soll, und erteilt Zustimmung. Dass dabei der Link, auf den man dann weitergeleitet wird, ins Leere läuft spielt keine Rolle.

Folgende Playbooks werden installiert:

  • IdentityProtection-TeamsBotResponse
    Dieses Playbook reagiert auf verdächtige Identitäten, die für den Zugriff auf Teams genutzt werden. Dabei wird das Feature Identity Protection des Azure-AD genutzt.
  • Post-Message-Teams
    Mit diesem Playbook wird eine Nachricht in einem Microsoft Teams-Kanal gepostet, wenn ein Alert in Microsoft Sentinel erstellt wird.

Subscribe
Benachrichtige mich zu:
0 Comments
Inline Feedbacks
View all comments