Azure Sentinel is Microsofts cloud-native Security Information Event Management (SIEM)-oplossing. Deze oplossing is Microsofts antwoord op de vraag om de security in Azure schaalbaarder te maken en nog eenvoudiger om te beheren. Maar wat moet je allemaal weten over Azure Sentinel? In deze blogpost geven wij een antwoord op de belangrijkste vragen.

Heel wat organisaties gebruiken vandaag Microsoft 365 en nemen in toenemende mate ook de geavanceerde beveiligings- en complianceregels van Microsoft 365 over. Tegelijk maken meer en meer bedrijven ook gebruik van de goed beveiligde Azure cloud om hun infrastructuur en applicaties 24/7 beschikbaar te hebben.

In de ideale wereld kan je de beveiligingsgegevens van gebruikers, endpoints (lees: desktops, laptops, smartphones, enz.) combineren met die van je infrastructuur en applicaties om eventuele veiligheidsrisico’s of aanvallen beter te begrijpen, aan te pakken en te voorkomen. Dat kan vanaf nu dus met Azure Sentinel.
 

Welke concrete voordelen biedt Azure Sentinel?

Azure Sentinel biedt bedrijven en organisaties een aantal voordelen op vlak van security. We geven je de belangrijkste:

  • Je krijgt een volledig overzicht van de beveiliging voor de hele organisatie, want je verzamelt alle gegevens (gebruikers, apparaten, toepassingen en infrastructuur, zowel on-premise als in meerdere clouds) op één platform
  • Je kan beter veiligheidsproblemen onderzoeken en analyseren omdat je beschikt over meer gegevens
  • Je kan nieuwe potentiële bedreigingen sneller detecteren met de hulp van machine learning en AI
  • Je kan sneller reageren op incidenten met ingebouwde orchestratie en automatisering van algemene taken
  • Je kan rekenen op de ervaring, de security data én de community van Microsoft security experts op een wereldwijde schaal
     

Wat zit er onder de motorkap van Azure Sentinel?

Azure Sentinel is cloud-native ontwikkeld op het schaalbare en performante Azure platform en maakt gebruik van meerdere bestaande Azure services, die elk afzonderlijk al ruimschoots hun sporen verdiend hebben.

De analysecomponent wordt geleverd door Log Analytics, een volwassen service die deel uitmaakt van het algemene Azure Monitor platform. De data exploration wordt geleverd via Data Explorer en voor de queries wordt gebruik gemaakt van Kusto Query Language (KQL), dezelfde taal die wordt gebruikt in Log Analytics.

Data binnentrekken gebeurt via een groot aantal kant-en-klare gegevensconnectoren, voor services als Office 365, Azure Active Directory (AAD), AAD Identity Protection, Azure Advanced Threat Protection, Cloud App Security en Azure Security Center, Azure Activity en Azure Information Protection en de Azure Web Application Firewall (WAF), samen met Azure DNS.

Maar ook externe platforms zoals Amazon Web Services (AWS), Palo Alto Networks, Cisco ASA, Check Point, Fortinet, F5, Barracuda en Symantec ICDX worden ondersteund. Je kan ook onbewerkte syslog-data en Common Event Format (CEF) data gebruiken, samen met Threat Intelligence.

Een van de andere fundamenten van Azure Sentinel is Machine Learning. Die moet helpen om low-fidelity signalen te laten correleren tot waarschuwingen met een hoge betrouwbaarheid, zodat analisten alleen te maken krijgen met problemen die echt het inzicht van een mens vereisen. Op die manier wil Microsoft “alert fatigue” tegengaan, waarbij security specialisten tussen het alert-bos de bomen niet meer zien. Die aanpak is sterk gelinkt met automatisatie, waarbij zoveel mogelijk van de routinetaken niet meer door mensen hoeven gecontroleerd te worden.

Microsoft vindt cloud security dus niet opnieuw uit, maar maakt slim gebruik van de kwalitatieve tools die het bedrijf eerder al ontwikkelde en die hun diensten al bewezen hebben. Het voegt er met Azure Sentinel nu een zeer sterke beheerslaag aan toe die het, zeker voor een managed cloud service provider als Arxus, nog eenvoudiger maakt om de security van bestaande klanten beter te monitoren, efficiënter te analyseren en sneller in te grijpen bij eventuele incidenten.
 

Hoe start je met Azure Sentinel?

Starten met Azure Sentinel kan in enkele stappen. Uiteraard vergt elke stap wel een zekere technische set-up. We zetten de belangrijkste stappen voor je op een rij.

Stap 1: Voeg Azure Sentinel toe aan je Azure account

Als je een Azure account hebt, kan je Azure Sentinel toevoegen in je Azure Portal. Houd er wel rekening mee dat je daarvoor een paar dingen nodig hebt:

  • Een Log Analytics workspace
  • Rechten tot de account waarop de Azure Sentinel workspace staat
  • Rechten tot de resource group waar de workspace deel van uitmaakt
  • Mogelijk zijn extra rechten nodig voor specifieke databronnen

Stap 2: Connecteer je databronnen

Azure Sentinel beschikt over een aantal connectors om gegevens van bepaalde Microsoft-oplossingen out of the box en realtime beschikbaar te maken in Azure Sentinel. Daarbij zijn ondermeer Microsoft Threat Protection, Microsoft 365, Office 365, Azure AD, Azure ATP, Microsoft Cloud App Security, enz. Daarnaast zijn er standaard connectors voor het bredere ecosysteem van andere security-oplossingen. Eens je je bronnen hebt geconnecteerd, komt de data binnen in Azure Sentinel.

Stap 3: Gebruik workbooks om data inzichtelijk te maken

Je kan workbooks gebruiken om data te bekijken in het overview dashboard of zelf interactieve dashboards creëren, helemaal van nul of op basis van bestaande templates. Op die manier krijg je inzicht in specifieke databronnen of data die relevant is voor jouw organisatie.

Stap 4: Maak regels om bedreigingen te detecteren

Nadat je bronnen geconnecteerd hebt en dashboards hebt gemaakt, kan je regels maken om bedreigingen te detecteren. Je kan beginnen met de out-of-the-box detectie die je eenvoudig kan inschakelen via de “Rule Templates”. Daarna kan je regels op maat creëren, specifiek aangepast aan jouw data, jouw vereisten en jouw omgeving.Die regels zullen ervoor zorgen dat je meldingen krijgt als er verdachte activiteiten plaats vinden in jouw omgeving.
 

Arxus & Azure Sentinel

Azure Sentinel biedt heel wat mogelijkheden om je Azure omgeving nog beter te beveiligen. Tegelijk vergt het juist opzetten van de tool, het creëren van relevante dashboards en regels wel de nodige technische expertise.

Als managed cloud service provider kan Arxus daar een belangrijke rol inspelen. Wij kunnen de security in jouw omgeving via Azure Sentinel volledig beheren en monitoren, zodat jij je enkel bezig hoeft te houden met je core business. Wil je meer weten over Azure Sentinel en wat het kan betekenen voor jouw organisatie? Neem dan zeker even contact met ons op via blog@arxus.eu

Gerelateerde Cases

Waarom kiezen voor Microsoft Azure?

Kiezen om naar de cloud te migreren is een ding, het juiste platform kiezen is nog iets helemaal anders. Bij Arxus zijn we overtuigd van Microsoft Azure en hanteren we een Azure First strategie. Waarom? Omdat Microsoft Azure een ontzettend performant en veilig cloud platform biedt en dat heel

6 redenen om een migratie naar de cloud te overwegen

Websites en ecommerce-oplossingen staan tegenwoordig bijna allemaal in de cloud. Maar steeds meer organisaties migreren ook hun hardware geheel of gedeeltelijk naar de cloud. Zelfs bedrijfskritische applicaties worden steeds vaker naar een private, publieke of hybride cloud gebracht. Er zijn dan

Wat betekent Azure Arc voor jouw hybride cloud?

Je kan vanaf nu Azure gebruiken om je volledige infrastructuur – zowel Windows als Linux-servers - te beheren, of die nu op Azure, AWS, Google Cloud, in een private cloud of on-premise staat. En je kan Azure Data Services eender waar gaan gebruiken. De oplossing die dat mogelijk maakt heet Azure