Logo Akuity SOC
Akuity SOC
CYBERSECURITY
Ermittlungs- und Tötungskette

Zentralisieren Sie Defender, Intune und Entra ID: Das Ende der fragmentierten Navigation

5 min de lecture Akuity SOC · Delphisoft Deutschland

Inmitten einer Cyberkrise ist das Jonglieren zwischen Microsoft-Portalen gefährlich. Erfahren Sie, wie Sie Ihre SOAR-Beweise und -Aktionen in einem einzigen Cockpit zentralisieren können.

Das Microsoft-Sicherheitsökosystem ist eines der umfassendsten auf dem heutigen Markt und umfasst Identitätsschutz (Entra ID), Endpunktverwaltung (Intune) und erweiterte Erkennung (Microsoft 365 Defender). Diese Suite bietet eine 360-Grad-Abdeckung, weist jedoch einen großen strukturellen Fehler für operative Teams auf:Schnittstellenfragmentierung.

Wenn es zu einem Cyberangriff kommt, muss der Sicherheitsanalyst zu einem „menschlichen Router“ werden, der von einem Microsoft-Portal zum anderen springt, um die einzelnen Teile zusammenzusetzen. Diese fragmentierte Navigation beeinträchtigt die Wirksamkeit des SOC, verlängert die mittlere Zeit bis zur Auflösung (MTTR) und erhöht die Fehlerquote. Lassen Sie uns herausfinden, wie die Zentralisierung per API (SOAR) dieses Problem endgültig löst.

Das Chaos des multiportalen Krisenmanagements

Nehmen wir das Szenario eines klassischen Business Email Compromise (BEC)-Angriffs, der zur Bereitstellung von Malware führt:

  1. Erkennung:Der Analyst erhält eine WarnungMicrosoft 365 Defender. Der CFO öffnete eine E-Mail mit bösartigen Payloads.
  2. Die Untersuchung der Identität:Der Analyst muss einen neuen Tab öffnen und sich beim Portal anmeldenMicrosoft EntraIDDurchsuchen Sie das Profil des Finanzdirektors und überprüfen Sie seine neuesten Verbindungsprotokolle, um festzustellen, ob sein Konto kompromittiert ist.
  3. Die Untersuchung zum Beitrag:Sie müssen eine dritte Registerkarte öffnenMicrosoft Intune, finden Sie den Laptop des Managers (unter Hunderten von Geräten) und überprüfen Sie dessen Compliance-Status und Antiviren-Warnungen.
  4. Abhilfe:Der Analyst muss zu Entra ID zurückkehren, um Sitzungen zu widerrufen, dann zu Intune zurückkehren, um die Sitzisolierung einzuleiten, und schließlich PowerShell oder das Compliance-Portal verwenden, um die ursprüngliche E-Mail zu löschen.

Inmitten eines Adrenalinstoßes, in dem das Management den Status in Echtzeit verlangt, ist dieses Jonglieren mit vier Tabs, Ladezeiten und abgelaufenen Sitzungen eine Quelle intensiven Stresses. Dies ist das perfekte Beispiel für „Tab Fatigue“.

Das Unified Ticket Panel: Reibungslose Untersuchung

Damit ein SOC effizient ist, darf es nur einen Bildschirm verwenden. Der OrchestratorAkuity SOCwurde entwickelt, um die Defender-, Entra ID- und Intune-APIs im Hintergrund abzufragen und die Daten in einer einzigen zu konsolidierenInteraktives Ticket-Panel.

Die Registerkarte „Beweis“ (TicketEvidence)

Anstatt nach Informationen zu suchen, kommen Informationen zum Analytiker. Auf der Registerkarte „Beweise“ werden alle am Angriff beteiligten Einheiten zentralisiert und intelligent klassifiziert:

  • Betroffene Identitäten:Zeigt Name und E-Mail an und ermöglicht das Auslösen des Zurücksetzens des Passworts oder des Sperrens der Sitzung direkt über die Karte des Benutzers.
  • Betroffene Geräte:Listet die beteiligten Intune-Maschinen auf, mit einer sofortigen Schaltfläche zum Bestellen der Netzwerkisolation.
  • Betroffene E-Mails:Zeigt den Betreff und den Absender des Phishings sowie ein animiertes Papierkorbsymbol an, um die globale Bereinigung (Soft-Delete) über das auszulösennetworkMessageId.
  • Kompromissindikatoren (IOC):Gruppiert bösartige IPs und Hashs und ermöglicht deren Blockierung (über die Defender-API) für 90 Tage mit einem einzigen Klick.

Auch die Benutzeroberfläche ist dynamisch: Wenn der Vorfall keine E-Mail enthält, wird der entsprechende Abschnitt automatisch ausgeblendet, um den visuellen Raum des Analysten nicht zu belasten.

Ein auf Geschwindigkeit ausgelegtes Cockpit (Entprellung 400 ms)

Über das Ticket hinaus muss die Gesamtsuche im Cockpit umwerfend sein. In herkömmlichen SIEMs dauert das Laden einer Abfrage nach einem Computer- oder Benutzernamen oft mehrere Sekunden.

Das Akuity SOC Cockpit integriert eine Textsuchleiste mit einem Suchmechanismus.Entprellung (Timeout) von 400 ms. Sobald der Analyst „PC-FINANCE-01“ eingibt, filtert die Schnittstelle sofort relevante Vorfälle über alle Microsoft-Mandanten hinweg, ohne dass die Seite neu geladen werden muss. Dynamische Schweregradindikatoren passen sich in Echtzeit an und bieten eine unvergleichliche Fließfähigkeit der Untersuchung.

Fazit: Orchestrierung schafft Asymmetrie

Ein Sicherheitstool sollte niemals eine kognitive Barriere darstellen. Durch die Zentralisierung von Beweisen aus Entra ID, Intune und Defender und die Nutzung sofortiger SOAR-Aktionsschaltflächen eliminieren Sie menschliche Latenz. Sie verwandeln Ihr Team in eine echte Kommandozentrale, die in der Lage ist, einen komplexen Angriff in weniger als 3 Minuten zu neutralisieren.

Stoppen Sie fragmentiertes Surfen.> Finden Sie heraus, wieAkuity SOC Unified Investigation Cockpitfasst Ihre Warnungen und Aktionen auf einem einzigen Bildschirm zusammen.

Page Solution Associée

Untersuchung von Vorfällen und visuelle Kill Chain

Visualisieren Sie die Ausbreitung von Angriffen mit unserer interaktiven Kill Chain. Algorithmische Zeitanalyse, Suchentprellung und MITRE ATT&CK-Integration.

Découvrir la solution complète

Articles du même cluster

Verständnis der MITRE ATT&CK Kill Chain anhand konkreter Beispiele

Erfahren Sie, wie Sie Ihre Cyberangriffe mit dem MITRE ATT&CK-Framework modellieren. Finden Sie heraus, wie die Visual Kill Chain von Akuity SOC Ihre Ermittlungen beschleunigt.

Lire →

Warum es wichtig ist, die Ausbreitung eines Angriffs chronologisch zu visualisieren

Es reicht nicht aus, die neueste Sicherheitswarnung zu blockieren. Finden Sie heraus, warum das Finden von Patient Zero mittels Zeitlinienanalyse für das SOC unerlässlich ist.

Lire →

KI in der Cyber-Ermittlung: Copilot oder blinde Automatisierung?

Wird KI SOC-Analysten ersetzen? Finden Sie heraus, warum der Copilot-Ansatz (Entscheidungsunterstützung) sicherer und effektiver ist als ein 100 % autonomes SOAR.

Lire →