Sicherheitsteams benötigen keine weiteren isolierten Warnmeldungen. Sie benötigen einen besseren Kontext.
Dies gilt insbesondere für den Bereich der Identitätssicherheit, wo der Unterschied zwischen einem verdächtigen Vorfall und einer echten Bedrohung oft davon abhängt, ob man die Gefährdung, die Zugriffsrechte, die Angriffspfade und die operativ wichtigsten Aspekte versteht. Wenn Ihr SOC zwar eine Warnmeldung erkennen kann, aber nicht schnell nachvollziehen kann, in welcher Verbindung diese Identität zu kritischen Ressourcen steht, haben Sie die Reaktionsfähigkeit nicht verbessert. Sie haben lediglich einen weiteren Bildschirm hinzugefügt, den es zu überwachen gilt.
Deshalb bin ich begeistert von der Arbeit, die Semperis gemeinsam mit Microsoft Sentinel und Security Copilot geleistet hat.
Wir verfügen nun über eine funktionsfähige, einsatzbereite Integration, die „Semperis Lightning Intelligence mithilfe von Microsoft-eigenen Bausteinen – darunter Azure Functions, DCE/DCR, Log Analytics-Workspace-Tabellen, KQL, Security Copilot und MCP – in das Microsoft-Sicherheitsökosystem einbindet.
Von außen betrachtet mag dies wie eine Integrationsgeschichte klingen. In der Praxis ist es jedoch etwas Wichtigeres: eine Möglichkeit, Identitätsrisiken innerhalb der Arbeitsabläufe, die Sicherheitsteams bereits täglich nutzen, konkret anzugehen.
Warum sollten Sie Semperis mit Sentinel und Copilot integrieren?
Das eigentliche Problem ist nicht die Anzahl der Benachrichtigungen. Es ist der fehlende Identitätskontext.
Seit Jahren haben Sicherheitsverantwortliche mit einer Lücke zwischen der Sichtbarkeit von Identitätsdaten und den entsprechenden operativen Maßnahmen zu kämpfen. Sie wissen vielleicht, dass ein Benutzer ein Risiko darstellt oder dass eine Umgebung gefährliche Schwachstellen aufweist, doch dieses Wissen befindet sich oft in einer separaten Konsole, einem separaten Datensatz oder einer separaten Teamdiskussion.
Unterdessen schreitet die Arbeit des SOC zügig voran. Analysten müssen Vorfälle untersuchen, nach Bedrohungen suchen und wichtige Fragen beantworten, ohne durch ständigen Wechsel zwischen verschiedenen Tools Zeit zu verlieren. Genau hier versagt die Identitätssicherheit allzu oft.
Unser Ansatz bei Lightning Intelligence stets darin, uns auf das zu konzentrieren, was aus Sicht der Verteidiger am wichtigsten ist, insbesondere auf die Zugangswege zu kritischen Tier-0-Ressourcen.
Die Microsoft-Integration überträgt diese Philosophie auf den SOC-Workflow, indem Lightning-Daten direkt in Sentinel zur Verfügung gestellt werden, wo Analysten diese abfragen, miteinander in Zusammenhang bringen und bei laufenden Untersuchungen nutzen können.
Dies ist von Bedeutung, da das Thema Identität längst kein Nischenbereich der Sicherheit mehr ist. Es spielt eine zentrale Rolle bei modernen Angriffswegen in hybriden Umgebungen.
So funktioniert die Integration: Microsoft-nativ, für den realen Betrieb konzipiert
Ein Aspekt, der mir bei jeder Sicherheitsintegration wichtig ist, ist die Frage, ob sie praktikabel ist.
- Lässt sich das skalieren?
- Lässt sich die Lösung in die bestehende Architektur des Kunden integrieren?
- Können Teams es tatsächlich in der Produktion einsetzen?
In diesem Fall lauten alle Antworten „Ja“.
Die Integration nutzt einen produktionsreifen, auf Azure Functions basierenden Konnektor, um Daten nach einem konfigurierbaren Zeitplan aus den Lightning-REST-APIs abzurufen und diese über DCE/DCR an Sentinel zu übermitteln. Dies bietet Kunden eine robustere Alternative als die alleinige Nutzung des codelosen Konnektor-Frameworks, wobei die Integration dennoch vollständig Azure-nativ bleibt.
Von Bedeutung ist zudem, dass sich dies nicht auf einen engen Teilbereich der Telemetrie beschränkt. Die Integration erfasst alle von der API bereitgestellten Lightning-Datentypen und unterstützten Identitätsanbieter, darunter Active Directory, Entra ID und andere unterstützte Quellen. Mit anderen Worten: Sentinel erhält ein umfassenderes und vollständigeres Bild der hybriden Identitätslage und der Angriffspfade und nicht nur eine Teilansicht von AD-spezifischen Ereignissen.
Jeder Lightning-Datentyp wird einer eigenen benutzerdefinierten Tabelle im Log Analytics-Arbeitsbereich zugeordnet, was bedeutet, dass Teams diese Daten als vollwertige Eingabe für KQL-Abfragen, Dashboards, Hunting-Szenarien und Analyseregeln nutzen können. Dies ist eine wichtige Designentscheidung.
Gute Integrationen übertragen nicht nur Daten. Sie machen Daten nutzbar.
Was ändert sich für das SOC durch die Integration von Semperis?
Der unmittelbarste Nutzen liegt in den Bereichen incident response Threat Hunting.
Wenn ein Analyst eine Warnmeldung zu einer Identität erhält, kann er direkt in Sentinel auf aus Lightning abgeleitete Kontextinformationen wie Angriffspfade, Tier-0-Risiko und Sicherheitsindikatoren zugreifen, ohne die Microsoft-Sicherheitsumgebung verlassen zu müssen. Dies verringert den Aufwand genau in dem Moment, in dem Schnelligkeit und Klarheit am wichtigsten sind.
Das Datenmodell unterstützt zudem sowohl die Triage des aktuellen Zustands als auch die Untersuchung historischer Daten. Da die Daten nur an das Ende des Datensatzes angehängt werden und mit einem Zeitstempel versehen sind – und da die Aufbewahrungsdauer über die verschiedenen Analyse- und Data-Lake-Ebenen hinweg angepasst werden kann –, können Teams sie sowohl für Echtzeit-Untersuchungen als auch für Rückblicke und Trendanalysen nutzen. Die Deduplizierung kann dann auf Abfrage- oder Agentenebene erfolgen.
Aus betrieblicher Sicht stellt die standardmäßige stündliche Synchronisierung ein ausgewogenes Verhältnis zwischen Aktualität und Kosten her und ermöglicht es gleichzeitig, die Abfragehäufigkeit an die Anforderungen der Kunden anzupassen. Genau diese Art von Kompromiss wissen erfahrene Sicherheitsteams zu schätzen.
Sie benötigen keine theoretische Perfektion. Sie benötigen verwertbare Daten, die aktuell genug sind, um von Bedeutung zu sein, und zwar in einem Format, das zu Ihren Arbeitsabläufen und Ihrem Budget passt.
Wo KI wirklich nützlich wird
Auf dem Markt wird derzeit viel über KI im Sicherheitsbereich diskutiert. Meine Ansicht dazu ist einfach:
KI ist nur dann von Nutzen, wenn sie Analysten dabei unterstützt, schneller zu handeln und fundiertere Entscheidungen zu treffen.
Aus diesem Grund halte ich den Aspekt des „Security Copilot“ in dieser Geschichte für besonders überzeugend.
Semperis hat maßgeschneiderte „Security Copilot“-Agenten entwickelt und deren Funktionsweise demonstriert, die vollständig innerhalb des Microsoft-Sicherheitsstacks arbeiten und KQL-basierte Tools für Lightning-Tabellen in Sentinel nutzen.
- Diese Agenten können sowohl im aufgabenbasierten als auch im dialogorientierten Modus arbeiten. Sie können eine Identität als Eingabe entgegennehmen und eine strukturierte Zusammenfassung des Risikos und des Sicherheitsstatus zurückgeben, einschließlich exponierter Pfade, Tier-0-Nähe und Risikoindikatoren.
- Außerdem können sie Tippfehler und ungenaue Übereinstimmungen bewältigen, indem sie nach ähnlichen Identitäten suchen und den Vorgang automatisch wiederholen – was zunächst unbedeutend klingt, bis man bedenkt, wie oft solche Hindernisse Ermittlungen in der Praxis verlangsamen.
- Noch wichtiger ist, dass sie mithilfe zusätzlicher KQL-Tools auf Basis der integrierten Daten Fragen höherer Ordnung beantworten können, die für Verteidiger von Bedeutung sind, beispielsweise wer die gefährlichsten Angreifer sind oder welche Tier-0-Ziele am stärksten gefährdet sind.
An dieser Stelle beginnt die KI, sich von einer Neuheit hin zu einem operativen Mehrwert zu entwickeln. Sie ersetzt den Analysten nicht. Vielmehr beschleunigt sie die Fähigkeit des Analysten, Identitätsdaten in Erkenntnisse umzuwandeln.
Da diese Agenten über den Microsoft Security Store veröffentlicht werden können, können gemeinsame Kunden den Konnektor und die Agenten direkt innerhalb des Microsoft-Ökosystems finden, bereitstellen und betreiben.
Warum dies strategisch von Bedeutung ist
Auf einer übergeordneten Ebene spiegelt diese Integration die zukünftige Entwicklung der Sicherheitsarchitektur wider.
- Sentinel wird zur zentralen Plattform für Analysen und die Suche nach Bedrohungen. Ein mehrstufiges Speichersystem sorgt für operative Flexibilität und Kostenkontrolle.
- Security Copilot erweitert die Funktionen für Analysten und Einsatzkräfte um eine KI-gesteuerte Koordinierungsebene.
Für Unternehmen, die bereits auf Security Copilot umgestellt haben, steht das Modell zudem im Einklang mit dem Ansatz von Microsoft hinsichtlich sicherer, vom Kunden bereitgestellter KI-Rechenleistung und -Abrechnung.
Diese Kombination ist besonders wirkungsvoll, da sie die Verteidiger nicht dazu zwingt, sich zwischen Identitätsvielfalt und Plattformkonsistenz zu entscheiden. Sie können beides haben.
Sicherheitsteams wissen bereits, dass die Identitätsverwaltung ein entscheidendes Schlachtfeld ist. Der nächste Schritt besteht darin, Identitätsinformationen dort bereitzustellen, wo Entscheidungen getroffen werden. Durch die Zusammenarbeit von Semperis Lightning Intelligence, Microsoft Sentinel und Security Copilot nimmt diese Zukunft bereits Gestalt an.
Erfahren Sie mehr über Lightning Intelligence sehen Sie sich Videos an, in denen die Lösung in Aktion zu sehen ist.
Möchten Sie konkret erfahren, wie Ihr Unternehmen von Lightning Intelligence profitieren Lightning Intelligence ? Fordern Sie eine Demo an. Wir helfen Ihnen gerne weiter.
