So integrieren Sie NordPass mit Microsoft Sentinel

Einführung

Durch die Verknüpfung von NordPass mit Microsoft Sentinel können Organisationen die Sicherheitstransparenz verbessern, Risiken schneller erkennen und die Workflows für die Reaktion auf Vorfälle optimieren. In dieser Anleitung wird erläutert, wie Sie NordPass Enterprise mit Microsoft Sentinel integrieren, um Aktivitätsprotokolldaten für eine zentralisierte Überwachung, Analysen und automatisierte Sicherheitsreaktionen zu übermitteln.

 

Bevor Sie beginnen

Mit der NordPass-Integration können Business-Kunden Aktivitätsprotokolldaten nahtlos an Microsoft Sentinel senden und so folgende Funktionen nutzen:

  • Überwachung von Nutzeraktionen in Echtzeit.
  • Erkennung potenzieller Sicherheitsrisiken.
  • Nutzung der fortschrittlichen Analyse- und Automatisierungsfunktionen von Sentinel.
  • Stärkung des digitalen Sicherheitsmanagements innerhalb der Organisation.
  • Verbesserung der Sicherheitstransparenz und Optimierung der Reaktion auf Vorfälle.

 

So gehen Sie vor

Microsoft Sentinel vorbereiten

  1. Stellen Sie sicher, dass die -Ressourcengruppe und der Log Analytics Workspace in derselben Region erstellt werden.
  2. Fügen Sie „Microsoft Sentinel“ zum erstellten Log Analytics Workspace hinzu.
  3. Stellen Sie sicher, dass die erforderlichen Berechtigungen zum Lesen und Schreiben von Daten aktiviert sind.
  4. Generieren Sie mithilfe unserer Anleitung eine Microsoft-Sentinel-API-URL und ein Token in der NordPass-Verwaltungsoberfläche.
  5. Sobald die Einrichtung abgeschlossen ist, werden alle 60 Sekunden Aktivitätsprotokolldaten in Microsoft Sentinel abgerufen. Bei der ersten Verbindung werden die NordPass-Aktivitätsprotokolle der letzten 7 Tage abgerufen. Danach werden nur noch Datensätze abgerufen, die in dem für das Skript festgelegten Intervall generiert wurden. 

 

NordPass-Integration bereitstellen

  1. Öffnen Sie den Microsoft Marketplace und suchen Sie nach „NordPass for Microsoft Sentinel“.
  2. Wählen Sie die Integration aus und klicken Sie auf „Erstellen“.
  3. Während der Bereitstellung:
    • Wählen Sie die für die NordPass-Integration erstellte Ressourcengruppe aus.
    • Wählen Sie den dedizierten Workspace aus und klicken Sie auf die Schaltfläche „Überprüfen + Erstellen“.
       
  4. Gehen Sie zum Workspace „Microsoft Sentinel“, suchen Sie im Abschnitt „Content Hub“ die Option „NordPass for Microsoft Sentinel“ und beginnen Sie mit der Einrichtung der Integration.

 

Datenkonnektor einrichten

  1. Suchen Sie im Microsoft Sentinel Content Hub nach „NordPass“.
  2. Wählen Sie die Integration aus und klicken Sie auf die Schaltfläche „Verwalten“.
  3. Wählen Sie „NordPass“ mit „Datenkonnektor“ als Inhaltstyp aus und klicken Sie auf die Schaltfläche „Verbindungsseite öffnen“.
  4. Überprüfen Sie die Voraussetzungen und klicken Sie auf die Schaltfläche „In Azure bereitstellen“.
  5. Geben Sie Folgendes an:
    • Ressourcengruppe
    • Name des Workspace
    • NordPass-API-URL
    • NordPass-API-Token
       
  6. Wählen Sie „Überprüfen + Erstellen“ aus und klicken Sie anschließend auf die Schaltfläche „Erstellen“, um die Azure Function bereitzustellen.
  7. Bestätigen Sie die erste erfolgreiche Datensynchronisierung im Abschnitt „Datenkonnektoren“ in Microsoft Sentinel.

    Hinweis: Dieser Connector verwendet Azure Functions, um Aktivitätsprotokolle von NordPass an Microsoft Sentinel zu übermitteln. Dies kann zu zusätzlichen Kosten für die Datenaufnahme führen. Weitere Informationen finden Sie auf der Preisseite für Azure Functions.

 

Analyseregeln aktivieren

  1. Gehen Sie zum Content Hub der installierten NordPass-Integration.
  2. Wählen Sie eine Analyseregel aus und klicken Sie auf die Schaltfläche „Regel erstellen“.
  3. Aktualisieren Sie die Regelparameter nach Bedarf und schließen Sie die Einrichtung ab, indem Sie auf die Schaltfläche „Speichern“ klicken.
  4. Vergewissern Sie sich im Abschnitt „Analysen“ von Microsoft Sentinel, dass die Regel aktiviert ist.
  5. Wiederholen Sie diese Schritte für jede relevante Analyseregel.

 

NordPass-Workbook aktivieren

  1. Wählen Sie im Content Hub die Option „NordPass-Workbook“ aus.
  2. Klicken Sie auf die Schaltfläche „Konfiguration“.
  3. Klicken Sie auf die Schaltfläche „Speichern“, wählen Sie einen Speicherort aus und bestätigen Sie Ihre Auswahl, indem Sie auf die Schaltfläche „Ja“ klicken.
  4. Nach dem Speichern finden Sie das Workbook im Abschnitt „Workbooks“ des Microsoft-Sentinel-Workspace.
  5. Wählen Sie die Option „Gespeichertes Workbook anzeigen“ aus, um die Aktivitätsdaten einzusehen.

 

Aktualisieren Sie bei Bedarf das Token.

  1. Melden Sie sich bei Microsoft Sentinel an und stellen Sie den NordPass-Datenkonnektor erneut bereit.
  2. Alternativ können Sie auch die Ressourcengruppe öffnen, die für die Bereitstellung der NordPass-Integration verwendet wurde, und dort die „NordPass Function App“ suchen.
  3. Suchen Sie in den Einstellungen im Abschnitt „Umgebungsvariablen“ nach „NordPass“.
  4. Wählen Sie für jede der Variablen, die Sie aktualisieren möchten, das Namensfeld „(NORDPASS_ENDPOINT_URL, NORDPASS_TOKEN)“ aus, wodurch die Variable im Bearbeitungsmodus geöffnet wird.
  5. Aktualisieren Sie die Wertdetails und klicken Sie auf die Schaltfläche „Anwenden“.
  6. Bestätigen Sie anschließend die Einstellungen für die Umgebungsvariablen im Abschnitt „App-Einstellungen“, indem Sie auf die Schaltfläche „Anwenden“ klicken.
  7. Bestätigen Sie anschließend die Änderungen, indem Sie auf die Schaltfläche „Bestätigen“ klicken.

 

Weitere Tipps

  • Das Dashboard für Verwaltungsaktionen zeigt Informationen zu den Aktionen von Eigentümern und Administratoren der Organisation in der Business-Verwaltungsoberfläche an. Hier werden Ihnen außerdem die folgenden Dashboards angezeigt:
    1. Aktionen: Diese Visualisierung zeigt die Aktionen an, die Nutzer mit MSP-Admin-, Eigentümer- und Admin-Rechten in der NordPass Business-Verwaltungsoberfläche ausgeführt haben.
    2. Anzahl der Aktionen pro Nutzer: In dieser Visualisierung werden alle Nutzer aufgelistet, die in der NordPass Business-Verwaltungsoberfläche Aktionen ausgeführt haben, und die Anzahl der ausgeführten Aktionen wird angegeben.
       
  • Das Aktivitäts-Dashboard für den NordPass-Tresor enthält Informationen zu den Aktionen, die Nutzer der Organisation in der NordPass-App durchgeführt haben.
    1. Elementaktionen: In dieser Visualisierung werden alle Aktionen sowie die Anzahl der von den Beschäftigten in der NordPass-App durchgeführten Aktionen aufgelistet.
    2. Elementaktionen nach Plattform: Diese Visualisierung zeigt die Anzahl der in der NordPass-App auf einer definierten Plattform ausgeführten Aktionen an.
       
  • Das Dashboard für Login-Aktionen enthält Informationen über die Logins von Mitarbeitenden der Organisation bei NordPass sowie über die Aktionen der Nutzer zum Entsperren des Tresors. Hier werden Ihnen die folgenden Dashboards angezeigt:
    1. Login-Zugriff: Diese Visualisierung zeigt, wann sich Ihre NordPass-Nutzer beim NordPass Business-Account anmelden, das Master-Passwort zum Entsperren von NordPass eingeben oder die SSO-Authentifizierung verwenden.
    2. Nach Plattform: Diese Visualisierung listet die Plattformen auf, auf denen Mitarbeitende der Organisation ihre Master-Passwörter validieren und auf denen sie auf die NordPass-App zugreifen.

War dieser Beitrag hilfreich?