Azure Sentinel הוא שירות SIEM מבוסס ענן. SIEM מאפשרת לארגונים לאסוף יומני אירועים ממערכות שונות, לרכז אותם ולבצע ניתוחים לזיהוי בעיות אבטחה ואיומים פוטנציאליים.
Sentinel נבנה לעבודה עם סביבות ענן היברידיות, כך שניתן לנטר פעילות ממכשירים מקומיים ושירותי ענן. נכון להיום, קיימות 30 אינטגרציות מובנות בשירות (Connectors). האינטגרציות מאפשרות חיבור קל ומהיר לשירותי ענן מבית מיקרוסופט (כמו Microsoft Defender for Office 365, ו-Microsoft Defender for Endpoint), וכמו כן לשירותי ענן מצד שלישי (לדוגמא AWS) ומכשירים פיזיים ברשת הארגונית כמו FortiGate.
ניתן לשלב את Sentinel עם שירותי Azure אחרים כדי לספק תגובות אוטומטיות לאירועי אבטחה. Sentinel משתמש בטכנולוגית Machine Learning מתקדמת ובינה מלאכותית (AI), המאפשרת ניתוח נתונים מאירועים שונים.
מבט ראשוני על Azure Sentinel
לSentinel ארבעה נדבכים מרכזיים:
- איסוף – באמצעות חיבור מערכות הפעלה ומכשירים שונים, Azure Sentinel אוסף נתונים ואירועי אבטחה ושומר אותם ל 31 ימים כברירת מחדל. ניתן להאריך את השמירה עד 730 יום.
- זיהוי – Azure Sentinel מציע שאילתות לתחקור אירועים, ובנוסף לכן ניתן לכתוב שאילתות באופן ידני.
- תחקור – ניתוח מעמיק יותר של אירועים באותה מתודולוגיית זיהוי, ויצירת Case (אירוע).
- תגובה – קיימת יכולת תגובה באופן ידני או אוטומטי (בשימוש Azure Sentinel Playbooks). כמו כן ניתן להשתמש בגראפים ופאנל ניהול מרהיב לצורך הצגת האירועים ומצב הSIEM.
איך ניתן להתחיל להשתמש בAzure Sentinel ?
אם כבר יש ברשותך סביבת עבודה של Azure Log Analytics, התחלת עבודה עם Azure Sentinelמהירה ביותר. יש להגדיר הרשאת Contributor מה Azure Subscription שבו ה Log Analyticsנמצא. וכך Sentinel יוכל להתחיל לקרוא ולנתח נתונים מתוך ה Log Analytics.
ל- Azure Sentinel יש כמה לוחות בקרה הזמינים כברירת מחדל, כך שניתן להגדיר את התצוגה המועדפת עליך בכמה לחיצות פשוטות.
כמו כן, ניתן גם לאפשר שילוב עם שירותי אבטחה אחרים של מיקרוסופט.
ל- Azure Sentinel מגוון מחברים (Connectors) מובנים האוספים נתונים ומעבדים אותם באמצעות טכנולוגיות מתקדמות מבוססות בינה מלאכותית. Sentinel Azure יכול לקשר את האירועים שלך לחריגות ידועות או לא ידועות בעזרת Machine Leaning.
לכל המחברים קיימים מדריכים מפורטים, כך שניתן להגדיר ולהטמיע חיבורים באופן יחסית מהיר.
Azure Sentinel משתמש ב Microsoft Intelligent Security Graph, שנתמך בין היתר על ידי Microsoft Intelligent Security Association (איגוד האבטחה של מיקרוסופט) המורכב ממעל ל- 60 חברות שעובדות יחד על מנת למצוא מתקפות ופגיעויות אבטחה באופן יעיל יותר.
למיקרוסופט נתונים רבים. הנאספים ממספר מקורות:
- +3500 אנשי אבטחה מקצועיים
- +18 מיליארד חיפושים במנוע החיפוש Bing
- +470 מיליארד מיילים
- מעל למיליארד חשבונות Azure
- מעל ל1.2 מיליארד תחנות קצה ומכשירים המתעדכנים מידי חודש
- 630 מיליארד ניסיונות התחברות לשירותי מיקרוסופט השונים בכל חודש
כך שלסיכום, המידע רב. וכגוף המחזיק במידע עשיר כ”כ, למיקרוסופט קיימת יכולת עצומה בהסקת תובנות מהמידע.
אנחנו כמשתמשים, יכולים ליהנות מהיכולת האדירה זו בשימוש כלי אבטחה שונים מבית מיקרוסופט, כאשר Sentinel Azure הוא רק קצה הקרחון.