Microsoft Sentinel UEBA: AWS-Erkennung erweitert

Einführung

Microsoft erweitert Microsoft Sentinel UEBA, um die AWS-Bedrohungserkennung mit umfassenderen Verhaltensanalysen zu stärken. Für Security Operations-Teams, die Hybrid- und Multi-Cloud-Umgebungen verwalten, ist das relevant, weil AWS CloudTrail-Ereignisse nun mit integriertem Kontext eingehen, der Untersuchungen beschleunigen und die Erkennungsqualität verbessern kann.

Anstatt sich auf komplexe KQL-Abfragen, statische Schwellenwerte oder manuell gepflegte Baselines zu verlassen, können Abwehrteams vorkalkulierte UEBA-Einblicke nutzen, um verdächtiges Verhalten in AWS-Aktivitäten schneller zu identifizieren.

Was ist neu bei Microsoft Sentinel UEBA für AWS

Microsoft hat die UEBA-Unterstützung für Multi-Cloud- und Identitätsdatenquellen ausgeweitet, darunter AWS, GCP, Okta und weitere Authentifizierungsprotokolle. Speziell für AWS umfassen die wichtigsten Verbesserungen:

• Mehr AWS-Verhaltensanreicherungen für CloudTrail-Ereignisse bei der Erfassung
• Binäre Einblicke wie:
  • Erstmalige Geografie
  • Ungewöhnlicher ISP
  • Ungewöhnliche Aktion
  • Abnormes Operationsvolumen
• Unterstützung der Tabelle BehaviorAnalytics für AWS-Aktivitäten mit Einblicken zu Benutzern, Geräten und Aktivitäten
• Tabelle Anomalies mit sechs integrierten AWS-Anomalieerkennungen aus den Machine Learning-Modellen von Microsoft
• Defender portal-Integration zur Anzeige von UEBA-Anomalien auf Benutzerentitätsseiten und in Vorfallsdiagrammen

Microsoft bezeichnet diesen Ansatz als binary feature stacking. Dabei kombinieren Analysten einfache True/False-Verhaltensindikatoren, um Angreiferaktivitäten schnell zu erkennen, die sonst in normalen AWS-Operationen untergehen könnten.

Warum das für Sicherheitsteams wichtig ist

AWS-Untersuchungen basieren oft auf Rohdaten aus CloudTrail-Protokollen und benutzerdefinierter Logik, um festzustellen, ob ein Verhalten tatsächlich verdächtig ist. Dieser Prozess kann zeitaufwendig und teuer sein, insbesondere in sich schnell verändernden Cloud-Umgebungen.

Mit Sentinel UEBA erhalten Administratoren und Analysten:

• Schnellere Triage von AWS-Warnungen
• Weniger Abhängigkeit von manuell entwickelten KQL-Baselines
• Besseren Kontext für menschliche und nicht-menschliche Identitäten
• Konsistentere Anomalieerkennung über Hybrid- und Multi-Cloud-Umgebungen hinweg

Das Update ist besonders nützlich für SOC-Teams, die Alert Fatigue reduzieren und gleichzeitig die Transparenz bei riskanten AWS-Aktionen wie ungewöhnlichen Anmeldungen, IAM-Berechtigungsänderungen oder bisher unbekannten User-Agents verbessern möchten.

Wichtige Implementierungsdetails

Der AWS-Verhaltenskontext erscheint in zwei Haupttabellen:

BehaviorAnalytics

Dies ist die zentrale Untersuchungsoberfläche für mit UEBA angereicherte AWS-Aktivitäten. Sie umfasst Felder wie EventSource, ActivityType und ActionType sowie dynamische Insight-Felder wie UserInsights, DeviceInsights und ActivityInsights.

Anomalies

Diese Tabelle enthält die vortrainierten Anomalieerkennungen von Microsoft für AWS. Datensätze umfassen:

• MITRE ATT&CK-Zuordnungen
• AnomalyScore
• AnomalyReasons
• Zugehörige Verhaltensanreicherungen

Was IT- und Sicherheitsadministratoren als Nächstes tun sollten

• Prüfen Sie aktuelle AWS CloudTrail-Erkennungen in Sentinel
• Identifizieren Sie Analyseregeln, die stark auf Baseline-Logik angewiesen sind
• Testen Sie UEBA-Anreicherungen in den Tabellen BehaviorAnalytics und Anomalies
• Nutzen Sie Hunting-Workflows im Defender portal, um Benutzeranomalien schneller zu untersuchen
• Aktualisieren Sie SOC-Playbooks, um den vorkalkulierten AWS-Verhaltenskontext optimal zu nutzen

Für Organisationen, die AWS zusammen mit Microsoft-Umgebungen absichern, kann dieses Update das Detection Engineering vereinfachen und die Reaktionseffizienz verbessern.