Eine defensive Sicherheitshaltung reicht nicht mehr aus. Das Warten auf die Auslösung einer kritischen Warnung in Microsoft Defender bedeutet oft, dass man erst dann auf den Angriff aufmerksam wird, wenn die Datenexfiltration bereits begonnen hat. Um Advanced Persistent Threats (APT) entgegenzuwirken, müssen Security Operations Center (SOCs) übenBedrohungsjagd: proaktive Suche nach schwachen Signalen.
Doch in der Welt der Managed Service Provider (MSSPs) wird diese Praxis oft in den Hintergrund gedrängt. Der Grund? Es ist unheimlich zeitaufwändig. Lassen Sie uns herausfinden, warum die Bedrohungssuche im großen Maßstab so komplex ist und wie eine zentralisierte Plattform sie automatisieren kann.
Das Rätsel der Multi-Tenant Threat Hunting
Die Abfragesprache von Microsoft,Kusto-Abfragesprache (KQL)ist ein phänomenal leistungsstarkes Tool zum Abfragen von Advanced Hunting-Datenbanken. Es ermöglicht Ihnen, Systemereignisse, Netzwerkverbindungen und Dateierstellungen mit chirurgischer Präzision zu korrelieren.
Allerdings stößt die tägliche Nutzung durch einen MSSP auf eine betriebliche Hürde:
1. Fragmentierung des Zugriffs
Um in Ihrem gesamten Kundenstamm nach verdächtigem Verhalten (z. B. der Kompromittierung einer neu veröffentlichten Zero-Day-Schwachstelle) zu suchen, muss ein L2-Analyst nacheinander eine Verbindung zum Microsoft 365 Defender-Portal von Kunde A herstellen, seine KQL-Abfrage schreiben und ausführen, die Ergebnisse exportieren, sich abmelden und dann erneut für Kunde B, Kunde C usw. beginnen. Wenn sie 50 Mandanten verwalten, kann eine einfache Überprüfungsroutine einen ganzen Tag dauern.
2. Die technischen Anforderungen des KQL
KQL ist eine mächtige, aber komplexe Sprache. Nicht alle Analysten der Stufe 1 (L1) beherrschen es fließend. Bitten Sie einen Junior-Operator, eine Join-Abfrage zwischen den Tabellen zu schreibenDeviceProcessEventsUndDeviceNetworkEventsDer Header ist der beste Weg, um Syntaxfehler, fehlgeschlagene Anforderungen oder, schlimmer noch, eine nachgewiesene Bedrohung zu erkennen.
3. Datenkonsolidierung (CSV-Dateisyndrom)
Der manuelle Export von Dutzenden CSV-Dateien aus nativen Microsoft-Portalen zwingt den Analysten dazu, Daten in Excel zu manipulieren, in der Hoffnung, Querverweise auf die Indikatoren zu erhalten. Es handelt sich um einen umständlichen Prozess, der anfällig für menschliches Versagen ist und nicht mit dem Sanierungssystem verknüpft ist.
Die Lösung: Zentralisierte KQL-Orchestrierung
Damit ein MSSP profitabel ist, muss er Threat Hunting-Dienste anbieten, ohne dass seine Gehaltskosten explodieren. Das ist das Versprechen eines modernen SOC-Orchestrators wie Akuity.
Eine sofortige Multi-Tenant-Auswahl
Im Akuity SOC Threat Hunting-Terminal verlässt der Analyst nie sein Fenster. Ein integrierter Selektor ermöglicht es ihm, den Mandanten gezielt auszuwählen, für den er die Suche durchführen möchte. Aufrufe werden asynchron über die Microsoft API gesendet. Die Untersuchung erstreckt sich von mehreren Minuten mühsamer Navigation auf den Bruchteil einer Sekunde.
Ein optimiertes Bearbeitungsterminal
Keine rudimentären Texteditoren mehr. Das Akuity-Terminal bietet eine echte Eingabekonsole in Monospace-Schriftart mit markanter Syntaxhervorhebung (smaragdgrün), wodurch der Code leichter lesbar ist. Die Anzahl der eingegebenen Zeilen wird in Echtzeit berechnet und bietet so einen Entwicklungskomfort, der einer professionellen IDE würdig ist.
Automatisierung durch Vorlagen (KQL-Vorlagen)
Um die mangelnde Beherrschung von KQL bei Nachwuchsanalysten auszugleichen, enthält die Plattform nativ „Schnellabfragevorlagen“. Mit einem Klick kann der Bediener eine komplexe Abfrage laden, die von Experten vorab geschrieben und optimiert wurde, um:
- Identifizieren Sie verdächtige Prozesse (
powershell.exeOdercmd.exe). - Listen Sie fehlgeschlagene Netzwerkverbindungen nach IP auf.
- Isolieren Sie die Kommunikation auf Ports mit hohem Risiko (4444, 8080).
Ein dynamisches Ergebnisraster
Die von Microsoft Defender zurückgegebenen Ergebnisse sind keine kalten CSV-Dateien mehr zum Herunterladen. Sie werden sofort in einem interaktiven Ergebnisraster in der Konsole angezeigt. Dank der Integration von AlienVault OTX und Google Web Risk kann der Analyst die erkannten IP-Adressen oder Domänen mit einem einzigen Klick sortieren, filtern und vor allem deren Reputation bewerten.
Fazit: Schneller jagen, besser schützen
Threat Hunting sollte kein Luxus mehr sein, der Unternehmen vorbehalten ist, die über ein unbegrenztes Budget für L3-Analysten verfügen. Durch die Zentralisierung und Automatisierung der Ausführung von KQL-Abfragen geben Sie Ihren Teams die Möglichkeit, hartnäckige Bedrohungen bei allen Ihren Kunden systematisch zu verfolgen.
Möchten Sie die proaktive Untersuchung in Ihrem SOC demokratisieren?> Entdecken Sie unsere KonsoleZentralisiertes KQL für die Bedrohungssuche für MSSPund führen Sie Ihre Abfragen im großen Maßstab aus.