Anleitung: Teams überwachen und Bedrohungen entdecken mit der neuen Microsoft-Sentinel-Integration

Mit der Ausbreitung von Microsoft Teams vergrößern sich auch dessen Angriffsflächen. Um die Sicherheit zu erhöhen, kann Teams nun an Microsoft Sentinel angebunden werden. Damit lassen sich der Sicherheitsstatus permanent überwachen und Bedrohungsanalysen erstellen. Folgende Schritte sind erforderlich:

Um Microsoft-Dienste mit Sentinel zu verbinden, stehen vorkonfigurierte Sentinel-Workbooks zur Verfügung. Im Fall von Teams kann wahlweise das Workbook „Microsoft Teams“ oder das Workbook „Office 365“ verwendet werden. Die Anbindung erfolgt über die Data Types OfficeActivity oder über die Logs von Microsoft Teams in Microsoft 365.

Im Microsoft Sentinel Content Hub gibt es verschiedene Vorlagen, und dazu zählt inzwischen auch das Template „Microsoft Sentinel for Teams“, allerdings noch in einer Preview-Fassung. Das Template installiert die Komponenten Analytics Rule, Hunting Query und Playbooks. Damit lässt sich Teams überwachen und nach Bedrohungen gefilterte Aufzeichnungen erstellen.

Die Installation ist dialoggeführt und einfach durchzuführen. Wenn die Einrichtung erfolgreich durchgelaufen ist, wird folgende Seite mit einer Übersicht aller installierten Komponenten angezeigt:

Welche Elemente werden mit Sentinel installiert?

1. Analytics

Analytics Rules dienen dazu, um Regeln zur Erkennung von Bedrohungen zu erstellen. Durch die Vorlage werden folgende zwei Regeln für Microsoft Teams erstellt:

• External user added and removed in short timeframe
  Diese Regel schlägt an, wenn externe Benutzer zu einem Team hinzugefügt und dann innerhalb einer Stunde wieder entfernt werden.
• Multiple Teams deleted by a single user
  Diese Regel zeigt an, wenn mehrere Teams innerhalb einer Stunde gelöscht werden.

Die Analyseregeln werden im deaktivierten Modus erstellt und können in der Galerie für Analyseregeln in Sentinel aktiviert beziehungsweise angepasst werden:

2. Hunting Queries: Mit Abfrage-Tools Bedrohungen suchen

Microsoft Sentinel stellt Abfragetools für die Suche nach Bedrohungen in den verbundenen Datenquellen bereit. So kann gezielt nach auffälligem Verhalten oder ungewöhnlichen Aktivitäten gesucht werden. Das Template installiert folgende Hunting Queries mit dem Fokus auf Microsoft Teams:

• External user from a new organisation added to Teams
  Diese Abfrage identifiziert externe Benutzer, die zu Teams hinzugefügt wurden, wobei die Domäne des Benutzers bisher noch nicht verwendet wurde.
• Multiple Teams deleted by a single user
  Diese Suchabfrage zeigt, wenn mehrere Teams von einem einzelnen Benutzer innerhalb eines kurzen Zeitraums gelöscht wurden.
• Bots added to multiple Teams
  Diese Suchabfrage hilft dabei, Bots zu identifizieren, die in kurzer Zeit zu mehreren Teams hinzugefügt wurden.
• User made Owner of multiple Teams
  Hier werden Benutzer identifiziert, die zu Eigentümern mehrerer Teams gemacht wurden.
• Previously unseen bot or application added to Teams
  Neue und möglicherweise nicht genehmigte Anwendungen oder Bots, die zu Teams hinzugefügt wurden, werden mit dieser Abfrage identifiziert.
• Files uploaded to Teams and access summary
  Diese Abfrage zeigt Dateien, die über einen Teams-Chat auf SharePoint hochgeladen wurden, und fasst die Benutzer und IP-Adressen zusammen, die auf diese Dateien zugegriffen haben. Dies ermöglicht die Identifizierung von anomalen Dateifreigabemustern.
• User added to Team and immediately uploads file
  Hier werden Benutzer identifiziert, die zu einem Team oder Chat hinzugefügt wurden und innerhalb einer Minute nach dem Hinzufügen eine Datei über den Chat hochgeladen haben. Dies könnte ein Indikator für verdächtige Aktivitäten sein.

3. Playbooks: Maßnahmen bei Warnungen automatisieren

Bei Playbooks handelt es sich um eine Sammlung von Prozeduren, die als Reaktion auf eine Warnung oder einen Vorfall ausgeführt werden können. Mit einem Playbook können Maßnahmen automatisiert werden, wenn bestimmte Warnungen oder Vorfälle erkannt werden.

Ein Knackpunkt beim Setupschritt Playbook ist, dass ein Benutzer hinterlegt werden muss, der das Recht hat sich mit der Teams API zu verbinden (siehe Screenshot).

Dazu muss diesem Benutzer Zustimmung (Consent) erteilt werden. Ein simpler Weg das zu tun ist hier beschrieben: https://docs.microsoft.com/en-us/graph/auth-v2-user#consent-experience. Dabei meldet man sich mit dem Benutzer an, der verwendet werden soll, und erteilt Zustimmung. Dass dabei der Link, auf den man dann weitergeleitet wird, ins Leere läuft spielt keine Rolle.

Folgende Playbooks werden installiert:

• IdentityProtection-TeamsBotResponse
  Dieses Playbook reagiert auf verdächtige Identitäten, die für den Zugriff auf Teams genutzt werden. Dabei wird das Feature Identity Protection des Azure-AD genutzt.
• Post-Message-Teams
  Mit diesem Playbook wird eine Nachricht in einem Microsoft Teams-Kanal gepostet, wenn ein Alert in Microsoft Sentinel erstellt wird.

• About
• Latest Posts

Nicki Borell

Nicki Borell ist Microsoft Regional Director, MVP für Office Apps & Services, Mitgründer von Experts Inside, Gründer des Labels „Xperts at Work“ und Partner der atwork GmbH. Als Team setzen wir erfolgreich IT- und Strategieprojekte im gehobenen Mittelstand und Großkundensegment um. Profitieren Sie von unserer Expertise, unserer Kompetenz und unserem Fachwissen, das wir zusammen mit starken Partnern in jedes unserer Projekte mit einbringen. Kontakt: nb@expertsinside.com | nb@atwork-it.com

Latest posts by Nicki Borell (see all)

• Mehr Datenschutz für Microsoft 365-Berichte: So anonymisieren sie persönliche Benutzerdaten - 2. März 2023
• Wie datenschutzwidrig ist Microsoft 365? Eine Analyse der aktuellen Vorwürfe – und wie es weitergeht - 3. Januar 2023
• Wie Sie mit Azure Files Ihre Fileserver und SMB-Freigaben in die Cloud auslagern - 30. August 2022