22 oktober 2019

Wat moet je weten over Azure Sentinel (cloud security)?

Arxus Blog
|
Wat moet je weten over Azure Sentinel (cloud security)?

Azure Sentinel is Microsofts cloud-native Security Information Event Management (SIEM)-oplossing. Deze oplossing is Microsofts antwoord op de vraag om de security in Azure schaalbaarder te maken en nog eenvoudiger om te beheren. Maar wat moet je allemaal weten over Azure Sentinel? In deze blogpost geven wij een antwoord op de belangrijkste vragen.

Heel wat organisaties gebruiken vandaag Microsoft 365 en nemen in toenemende mate ook de geavanceerde beveiligings- en complianceregels van Microsoft 365 over. Tegelijk maken meer en meer bedrijven ook gebruik van de goed beveiligde Azure cloud om hun infrastructuur en applicaties 24/7 beschikbaar te hebben.

In de ideale wereld kan je de beveiligingsgegevens van gebruikers, endpoints (lees: desktops, laptops, smartphones, enz.) combineren met die van je infrastructuur en applicaties om eventuele veiligheidsrisico’s of aanvallen beter te begrijpen, aan te pakken en te voorkomen. Dat kan vanaf nu dus met Azure Sentinel.
 

Welke concrete voordelen biedt Azure Sentinel?

Azure Sentinel biedt bedrijven en organisaties een aantal voordelen op vlak van security. We geven je de belangrijkste:

  • Je krijgt een volledig overzicht van de beveiliging voor de hele organisatie, want je verzamelt alle gegevens (gebruikers, apparaten, toepassingen en infrastructuur, zowel on-premise als in meerdere clouds) op één platform
  • Je kan beter veiligheidsproblemen onderzoeken en analyseren omdat je beschikt over meer gegevens
  • Je kan nieuwe potentiële bedreigingen sneller detecteren met de hulp van machine learning en AI
  • Je kan sneller reageren op incidenten met ingebouwde orchestratie en automatisering van algemene taken
  • Je kan rekenen op de ervaring, de security data én de community van Microsoft security experts op een wereldwijde schaal
     

Wat zit er onder de motorkap van Azure Sentinel?

Azure Sentinel is cloud-native ontwikkeld op het schaalbare en performante Azure platform en maakt gebruik van meerdere bestaande Azure services, die elk afzonderlijk al ruimschoots hun sporen verdiend hebben.

De analysecomponent wordt geleverd door Log Analytics, een volwassen service die deel uitmaakt van het algemene Azure Monitor platform. De data exploration wordt geleverd via Data Explorer en voor de queries wordt gebruik gemaakt van Kusto Query Language (KQL), dezelfde taal die wordt gebruikt in Log Analytics.

Data binnentrekken gebeurt via een groot aantal kant-en-klare gegevensconnectoren, voor services als Office 365, Azure Active Directory (AAD), AAD Identity Protection, Azure Advanced Threat Protection, Cloud App Security en Azure Security Center, Azure Activity en Azure Information Protection en de Azure Web Application Firewall (WAF), samen met Azure DNS.

Maar ook externe platforms zoals Amazon Web Services (AWS), Palo Alto Networks, Cisco ASA, Check Point, Fortinet, F5, Barracuda en Symantec ICDX worden ondersteund. Je kan ook onbewerkte syslog-data en Common Event Format (CEF) data gebruiken, samen met Threat Intelligence.

Een van de andere fundamenten van Azure Sentinel is Machine Learning. Die moet helpen om low-fidelity signalen te laten correleren tot waarschuwingen met een hoge betrouwbaarheid, zodat analisten alleen te maken krijgen met problemen die echt het inzicht van een mens vereisen. Op die manier wil Microsoft “alert fatigue” tegengaan, waarbij security specialisten tussen het alert-bos de bomen niet meer zien. Die aanpak is sterk gelinkt met automatisatie, waarbij zoveel mogelijk van de routinetaken niet meer door mensen hoeven gecontroleerd te worden.

Microsoft vindt cloud security dus niet opnieuw uit, maar maakt slim gebruik van de kwalitatieve tools die het bedrijf eerder al ontwikkelde en die hun diensten al bewezen hebben. Het voegt er met Azure Sentinel nu een zeer sterke beheerslaag aan toe die het, zeker voor een managed cloud service provider als Arxus, nog eenvoudiger maakt om de security van bestaande klanten beter te monitoren, efficiënter te analyseren en sneller in te grijpen bij eventuele incidenten.
 

Hoe start je met Azure Sentinel?

Starten met Azure Sentinel kan in enkele stappen. Uiteraard vergt elke stap wel een zekere technische set-up. We zetten de belangrijkste stappen voor je op een rij.

Stap 1: Voeg Azure Sentinel toe aan je Azure account

Als je een Azure account hebt, kan je Azure Sentinel toevoegen in je Azure Portal. Houd er wel rekening mee dat je daarvoor een paar dingen nodig hebt:

  • Een Log Analytics workspace
  • Rechten tot de account waarop de Azure Sentinel workspace staat
  • Rechten tot de resource group waar de workspace deel van uitmaakt
  • Mogelijk zijn extra rechten nodig voor specifieke databronnen

Stap 2: Connecteer je databronnen

Azure Sentinel beschikt over een aantal connectors om gegevens van bepaalde Microsoft-oplossingen out of the box en realtime beschikbaar te maken in Azure Sentinel. Daarbij zijn ondermeer Microsoft Threat Protection, Microsoft 365, Office 365, Azure AD, Azure ATP, Microsoft Cloud App Security, enz. Daarnaast zijn er standaard connectors voor het bredere ecosysteem van andere security-oplossingen. Eens je je bronnen hebt geconnecteerd, komt de data binnen in Azure Sentinel.

Stap 3: Gebruik workbooks om data inzichtelijk te maken

Je kan workbooks gebruiken om data te bekijken in het overview dashboard of zelf interactieve dashboards creëren, helemaal van nul of op basis van bestaande templates. Op die manier krijg je inzicht in specifieke databronnen of data die relevant is voor jouw organisatie.

Stap 4: Maak regels om bedreigingen te detecteren

Nadat je bronnen geconnecteerd hebt en dashboards hebt gemaakt, kan je regels maken om bedreigingen te detecteren. Je kan beginnen met de out-of-the-box detectie die je eenvoudig kan inschakelen via de “Rule Templates”. Daarna kan je regels op maat creëren, specifiek aangepast aan jouw data, jouw vereisten en jouw omgeving.Die regels zullen ervoor zorgen dat je meldingen krijgt als er verdachte activiteiten plaats vinden in jouw omgeving.
 

Arxus & Azure Sentinel

Azure Sentinel biedt heel wat mogelijkheden om je Azure omgeving nog beter te beveiligen. Tegelijk vergt het juist opzetten van de tool, het creëren van relevante dashboards en regels wel de nodige technische expertise.

Als managed cloud service provider kan Arxus daar een belangrijke rol inspelen. Wij kunnen de security in jouw omgeving via Azure Sentinel volledig beheren en monitoren, zodat jij je enkel bezig hoeft te houden met je core business. Wil je meer weten over Azure Sentinel en wat het kan betekenen voor jouw organisatie? Neem dan zeker even contact met ons op via blog@arxus.eu

Gerelateerde Posts

17 / 04 / 2024

De voor- en nadelen van Azure Virtual WAN

Als over connectiviteit, schaalbaarheid en beveiliging gaat, staan organisaties vaak voor een belangrijke beslissing: kiezen voor een traditionele netwerkarchitectuur of voor Virtual WAN van Microsoft Azure. Maar welke past nu het best bij jouw bedrijf? Wij helpen je graag om de juiste keuze te

Lees meer
25 / 03 / 2024

4 tips om je Azure Cost Management te verbeteren

Veel bedrijven worstelen ermee: op een efficiënte manier je uitgaven beheren. Zeker wanneer het over je Azure-kosten gaat. Maar dat hoeft helemaal niet ingewikkeld te zijn. Want met een paar simpele tips en tricks optimaliseer jij je Azure-verbruik als een professional. En wij kunnen je dat leren.

Lees meer
08 / 03 / 2024

Arxus Teams Voice: wat zijn de voordelen?

Tegenwoordig stappen steeds meer organisaties over naar cloudtelefonie. En daar zijn verschillende redenen voor: van goedkopere onderhoudscontracten tot betere schaalbaarheid en gebruiksgemak. Maar als Cloud Solution Provider gaan wij nog een stap verder. Tim Peeters, onze Teams Voice Specialist,

Lees meer