Azure Sentinel is Microsofts cloud-native Security Information Event Management (SIEM)-oplossing. Deze oplossing is Microsofts antwoord op de vraag om de security in Azure schaalbaarder te maken en nog eenvoudiger om te beheren. Maar wat moet je allemaal weten over Azure Sentinel? In deze blogpost geven wij een antwoord op de belangrijkste vragen.
Heel wat organisaties gebruiken vandaag Microsoft 365 en nemen in toenemende mate ook de geavanceerde beveiligings- en complianceregels van Microsoft 365 over. Tegelijk maken meer en meer bedrijven ook gebruik van de goed beveiligde Azure cloud om hun infrastructuur en applicaties 24/7 beschikbaar te hebben.
In de ideale wereld kan je de beveiligingsgegevens van gebruikers, endpoints (lees: desktops, laptops, smartphones, enz.) combineren met die van je infrastructuur en applicaties om eventuele veiligheidsrisico’s of aanvallen beter te begrijpen, aan te pakken en te voorkomen. Dat kan vanaf nu dus met Azure Sentinel.
Azure Sentinel biedt bedrijven en organisaties een aantal voordelen op vlak van security. We geven je de belangrijkste:
Azure Sentinel is cloud-native ontwikkeld op het schaalbare en performante Azure platform en maakt gebruik van meerdere bestaande Azure services, die elk afzonderlijk al ruimschoots hun sporen verdiend hebben.
De analysecomponent wordt geleverd door Log Analytics, een volwassen service die deel uitmaakt van het algemene Azure Monitor platform. De data exploration wordt geleverd via Data Explorer en voor de queries wordt gebruik gemaakt van Kusto Query Language (KQL), dezelfde taal die wordt gebruikt in Log Analytics.
Data binnentrekken gebeurt via een groot aantal kant-en-klare gegevensconnectoren, voor services als Office 365, Azure Active Directory (AAD), AAD Identity Protection, Azure Advanced Threat Protection, Cloud App Security en Azure Security Center, Azure Activity en Azure Information Protection en de Azure Web Application Firewall (WAF), samen met Azure DNS.
Maar ook externe platforms zoals Amazon Web Services (AWS), Palo Alto Networks, Cisco ASA, Check Point, Fortinet, F5, Barracuda en Symantec ICDX worden ondersteund. Je kan ook onbewerkte syslog-data en Common Event Format (CEF) data gebruiken, samen met Threat Intelligence.
Een van de andere fundamenten van Azure Sentinel is Machine Learning. Die moet helpen om low-fidelity signalen te laten correleren tot waarschuwingen met een hoge betrouwbaarheid, zodat analisten alleen te maken krijgen met problemen die echt het inzicht van een mens vereisen. Op die manier wil Microsoft “alert fatigue” tegengaan, waarbij security specialisten tussen het alert-bos de bomen niet meer zien. Die aanpak is sterk gelinkt met automatisatie, waarbij zoveel mogelijk van de routinetaken niet meer door mensen hoeven gecontroleerd te worden.
Microsoft vindt cloud security dus niet opnieuw uit, maar maakt slim gebruik van de kwalitatieve tools die het bedrijf eerder al ontwikkelde en die hun diensten al bewezen hebben. Het voegt er met Azure Sentinel nu een zeer sterke beheerslaag aan toe die het, zeker voor een managed cloud service provider als Arxus, nog eenvoudiger maakt om de security van bestaande klanten beter te monitoren, efficiënter te analyseren en sneller in te grijpen bij eventuele incidenten.
Starten met Azure Sentinel kan in enkele stappen. Uiteraard vergt elke stap wel een zekere technische set-up. We zetten de belangrijkste stappen voor je op een rij.
Als je een Azure account hebt, kan je Azure Sentinel toevoegen in je Azure Portal. Houd er wel rekening mee dat je daarvoor een paar dingen nodig hebt:
Azure Sentinel beschikt over een aantal connectors om gegevens van bepaalde Microsoft-oplossingen out of the box en realtime beschikbaar te maken in Azure Sentinel. Daarbij zijn ondermeer Microsoft Threat Protection, Microsoft 365, Office 365, Azure AD, Azure ATP, Microsoft Cloud App Security, enz. Daarnaast zijn er standaard connectors voor het bredere ecosysteem van andere security-oplossingen. Eens je je bronnen hebt geconnecteerd, komt de data binnen in Azure Sentinel.
Je kan workbooks gebruiken om data te bekijken in het overview dashboard of zelf interactieve dashboards creëren, helemaal van nul of op basis van bestaande templates. Op die manier krijg je inzicht in specifieke databronnen of data die relevant is voor jouw organisatie.
Nadat je bronnen geconnecteerd hebt en dashboards hebt gemaakt, kan je regels maken om bedreigingen te detecteren. Je kan beginnen met de out-of-the-box detectie die je eenvoudig kan inschakelen via de “Rule Templates”. Daarna kan je regels op maat creëren, specifiek aangepast aan jouw data, jouw vereisten en jouw omgeving.Die regels zullen ervoor zorgen dat je meldingen krijgt als er verdachte activiteiten plaats vinden in jouw omgeving.
Azure Sentinel biedt heel wat mogelijkheden om je Azure omgeving nog beter te beveiligen. Tegelijk vergt het juist opzetten van de tool, het creëren van relevante dashboards en regels wel de nodige technische expertise.
Als managed cloud service provider kan Arxus daar een belangrijke rol inspelen. Wij kunnen de security in jouw omgeving via Azure Sentinel volledig beheren en monitoren, zodat jij je enkel bezig hoeft te houden met je core business. Wil je meer weten over Azure Sentinel en wat het kan betekenen voor jouw organisatie? Neem dan zeker even contact met ons op via blog@arxus.eu