Azure Sentinel er Microsofts neste-generasjons skybaserte SIEM- og SOAR-løsning. SIEM står for Security Information and Event Management eller sikkerhetsinformasjon og hendelseshåndtering. Den sørger for overvåking, deteksjon og varslinger av hendelser, sammen med en omfattende og sentralisert oversikt over sikkerheten i din IT-infrastruktur. SOAR betegner Security Orchestration, Automation and Response eller sikkerhetsorkestrering, automatisering og respons.
Det bidrar til å effektivisere sikkerhetsoperasjoner og er i ferd med å bli det nye kontrollnivået for sikkerhetsoperasjonssentre. Teamene der er underbemannet og overarbeidet. Det finnes for få spesialister. Dagens trussellandskap bombarderer oss med alarmer fra forskjellige kilder. Det er her SOAR kommer inn med automatiserte analyser, trusselintelligens og respons. Azure Sentinel har raskt utviklet seg til å bli en av de ledende løsningene. Sentinel selv betyr vakt, vaktpost, skiltvakt.
Egenskaper ved Azure Sentinel
Tradisjonelt tar det tid å sette opp systemer for sikkerhetsinformasjon og hendelsesstyring (SIEM). De er heller ikke nødvendigvis utformet med tanke på arbeidsmengder i skyen. Med Azure Sentinel er du raskt i gang og får verdifull sikkerhetsinnsikt fra lokal infrastruktur og nettskyen på tvers av plattformer, som Microsoft 365, Azure, Amazon Web Services (AWS) og Google Cloud Platform (GCP). Azure Sentinel gir et fugleperspektiv over hele sikkerhetslandskapet i virksomheten din.
Oppdag og stans trusler før de forårsaker skade. Trekk veksler på flere tiårs erfaringer Microsoft har gjort innen sikkerhet. Ta i bruk kunstig intelligens (KI) og gjør trusseloppdagelse og respons smartere og kjappere. Azure Sentinel krever minimalt med administrasjon og har en fleksibel prismodell. Du skalerer ressurser etter dine sikkerhetsbehov. I et nøtteskall er dette fordelene:
- Samle data i skyskala – fra alle typer brukere, enheter, programmer og infrastruktur, både lokalt og i flere skyer.
- Oppdag tidligere uoppdagede trusler og minimer falske positiver ved hjelp av analyse og trusselinformasjon fra Microsoft.
- Undersøk trusler med kunstig intelligens og søk etter mistenkelig aktivitet i skala ved å dra nytte av flere tiår med arbeid innen cybersikkerhet hos selskapet.
- Reager raskt på hendelser med innebygd iverksetting og automatisering av vanlige oppgaver.
Skyen, maskinlæring og trusselintelligens
Skyen og kunstig intelligens med maskinlæring har forandret verden. Du trenger ikke lenger bruke tid på installasjon og vedlikehold, avsette lagringskapasitet eller sette begrensninger for undersøkelser. Konsentrer deg heller om sikkerhetsbrudd. I skyen skalerer du automatisk. KI jobber på din side og lar deg rette søkelyset på å finne ekte trusler kjapt. Maskinlæring og kunnskap med utgangspunkt i trillioner av daglige signalanalyser reduserer støy fra legitime hendelser.
Du er raskt i gang med proaktiv trusseljakt med forhåndsbygde spørringer som er utformet av Microsofts sikkerhetseksperter. Du ser en ordnet liste over varsler plassert etter rang og betydning. Du får korrelerte analyser av tusenvis av sikkerhetshendelser i løpet av sekunder og kan visualisere det fullstendige området for hvert angrep. Det forenkler sikkerhetsoperasjoner og øker hastigheten på trusselresponsen med integrert automatisering og iverksetting av oppgaver og arbeidsflyt.
Atferdsanalyser holder deg i forkant av angrep som er under utvikling. Det lar deg avdekke ukjente faresignaler og avvikende atferd hos kompromitterte brukere og interne trusler. Med bruker- og enhetsprofilering får du dypere innsikt i konteksten ved et angrep, noe som hjelper deg i din etterforskning og avanserte trusseljakt. Maskinlæring og Microsofts sikkerhetsekspertise bidrar med analyser og lar deg finne sammenhenger som gir flere opplysninger, omtalt som berikelse.
Komponenter og tjenester i Azure
Azure Sentinel ble allment tilgjengelig høsten 2019 og har opplevd en enorm økning i popularitet det siste året. Det vokse fra et lite SIEM/SOAR-produkt til et fullverdig SIEM som kan konkurrere med markedsledere som Splunk Cloud og IBM QRadar. I arkitekturen benytter Sentinel flere komponenter i Azure. Det er bygget på toppen av Log Analytics workspace, en Azure-tjeneste som lar deg opprette, lagre og kjøre spørringer på data samlet fra flere kilder.
Dette arbeidsområdet igjen er del av Azure Monitor, som bidrar med omfattende overvåking og varsling. Log Analytics brukes også av andre Azure-ressurser, som Application Insights, Azure Active Directory og Microsoft Information Protection. Kunstig intelligens (KI) med maskinlæring (ML) oppdager avvik. Workbooks eller arbeidsbøker sørger for å visualisere sikkerhetsdata. Azure Logic Apps og playbooks benyttes for automatiske responser.
Automatiseringsfunksjonene har tre formål: varsling, utbedring og berikelse (utfyllende informasjon). Spørrespråket er Kusto (KQL), et høynivåspråk som låner fra SQL og PowerShell. Det brukes for alle logiske definisjoner i Sentinel. Kusto finner vi også i Microsoft 365 Defender, som lar oss jakte på tvers av produktene som inngår i suiten for å få et helhetlig bilde av et angrep. Sentinel støtter et enkelt eller flere arbeidsområder i én tenant, også på tvers av tenanter med Azure Lighthouse.
Sette opp Azure Sentinel
Det er raskt gjort. Knytt en Azure-tenant til din eksisterende Microsoft 365-organisasjon. Opprett en ressursgruppe i Azure, legg til Log Analytics workspace og pluss på med Azure Sentinel. Begynn med å konfigurere noen få koblinger for innsamling av data, som Azure AD, Azure AD Identity Protection og Microsoft 365 Defender, som omfatter Defender for Identity, Defender for Office 365, Defender for Endpoint og Cloud App Security.
Opprett en ressursgruppe, her smi-sentinel-rg. Søk etter Azure Sentinel og klikk på Create. Dette er en helt ny tenant uten arbeidsområde for Log Analytics. Det må lages først. Når det er klart, klikker du på Add.
Da er ditt skyopprinnelige SIEM på plass. Her skal vi bare konsentrere oss om punkt 1, som er å samle inn data fra Microsoft 365 og Azure AD. Punkt 2 hjelper deg med å opprette sikkerhetsvarsler. Punkt 3 lar deg sette opp automatisering og orkestrering. Noe som ikke er med på oversiktssiden, er UEBA – User and Entity Behavior Analytics eller analyse av entitets- og brukeratferd. Entiteter dekker eksempelvis endepunkter, applikasjoner og nettverksenheter som kan bli kompromittert. Funksjonen er ikke slått på som standard og fører til at det må samles inn flere logger (og høyere utgifter).
Sette opp datatilkoblinger
Søk etter koblingene du trenger. Legg til anbefalte arbeidsbøker og maler for analytiske regler.
Simulerte angrep
Det tar tid før du ser de første loggene strømme inn. For å forsere det kan du eksempelvis logge på Microsoft 365 med Tor-nettleseren og komme inn anonymt. Det flagges av både Cloud App Security og Azure AD Identity Protection og vises i Azure Sentinel.
Her har vi simulert et typisk hacker-angrep, som innbefatter Mimikatz for å få tak i pålogginger for privilegerte brukere.
Microsoft 365 Defender og Azure Sentinel
Microsoft 365 Defender er verken et SIEM eller SOAR, men oppviser flere av karakteristikkene. Tjenestene er tett integrert i hverandre og sender varsler til Microsoft 365 Defender-portalen. Der sammenfattes de som hendelser. En hendelse kan eksempelvis omfatte dette scenario: Et infisert vedlegg er sendt til flere mottakere. Det er ikke blitt fanget opp av detonasjonskammeret i Defender for Office 355 (skadevare som oppdager at det kjører i et kunstig miljø).
To brukere klikker på det, og enhetene får en trojaner. Den laster ned hacker-verktøy, oppretter kontakt med en kommando-og-kontroll-server (C&C) og klarer å knekke noen passord. Defender for Endpoint oppdager trojaneren. Defender for Office 365 fjerner den fra innbokser hos alle brukere. Defender for Identity avslører typiske aktiviteter som kjennetegner en cyberdrapskjede. Cloud App Security avdekker kommunikasjonen med C&C-tjeneren.
Dette hendelsesforløpet avstedkommer et hav av varsler. Hvert enkelt av dem gir ikke nok mening og viser heller ikke helhetsbildet. Men til sammen, organisert som hendelse ved hjelp av KI, tegner de opp et skremselsscenario som sikkerhetsansvarlige omgående må gripe tak i. En del av dette ryddes det opp i via automatisert oppdagelse og respons (AIR). Det er nettopp sånn Azure Sentinel også opererer, men det lar deg innlemme sikkerhetssignaler fra langt flere kilder.
Avsluttende ord
Azure Sentinel, Microsoft 365 Defender (E5 el. E3 + Security) og Azure AD Identity Protection bidrar til å forebygge, oppdage, undersøke og bekjempe angrep. For rene skymiljøer kan det være nok med Defender-produktene. I hybride miljøer kan saken stille seg annerledes. Her kan man ønske flere tilkoblingspunkter med logger fra lokale servere, applikasjoner og nettverksenheter. Hensikten med denne bloggen er ikke å foreta en sånn vurdering, men å gjøre deg kjent med Azure Sentinel, så du kommer i gang og kan se selv.
Prising er et omfattende og forvirrende kapittel. Du betaler for innsamling av data og oppbevaring. For Microsoft 365 Defender er data-inntaket gratis, for Office 365-produktivitetstjenester ikke. Det finnes flere ordninger som reduserer utgiftene. Mer info er å hente hos Microsoft. Det beste du kan gjøre, er å følge med og starte i det små og se på omkostningene for ressursgruppen. Om du er misfornøyd, kan du avinstallere Sentinel i Innstillinger. Fjern arbeidsområdet med PowerShell, i og med at dette er en integrert tjeneste for mer enn bare Sentinel, og slett gruppen.
Første grafikk er fra boken Microsoft 365 Security for IT Pros (2022), selve standardverket om sikkerhet i Microsoft 365. Den andre figuren er hentet hos Microsoft.