Platforme de colaborare si eficientizare in organizatii, Stiri

Azure Sentinel

09 July 2020

 

Pentru multe companii principala problemă legată de securitatea cibernetică este că domeniul a devenit prea complex. Deşi sunt tot mai multe unelte şi soluţii disponibile, numărul vulnerabilităţilor, ameninţărilor şi atacurilor creşte permanent. Departamentele IT au ajuns să urmărească sute sau mii de repere, de la utilizatori şi echipamente, la indicatori de calitate ai reţelei şi aplicaţiilor. Iată de ce înţelegerea fenomenului şi conturarea unei imagine coerente asupra măsurilor ce trebuie adoptate devine o sarcină dificilă pentru tot mai multe companii.

Realitatea din România arată că puţine organizaţii îşi permit un expert în cybersecurity. De aceea, beneficiarii apelează la furnizorii de tehnologie, care trebuie să răspundă la întrebări şi să propună acţiuni concrete pentru diminuarea riscurilor. Un ajutor important vine de la Microsoft, care fără să fie un furnizor tradiţional de securitate, are atât tehnologia necesară, cât şi experienţă. Mai concret este vorba despre Azure Sentinel, un serviciu care combină funcționalităţile de detecţie şi alertare cu cele de investigare şi atenuare.

Azure Sentinel are ca scop simplificarea muncii echipelor IT prin reducerea zgomotului de fond, a alarmelor false, a timpului pierdut cu investigaţii inutile sau cu monitorizarea unui mediu prea complex. Lansat public în septembrie anul trecut, Azure Sentinel oferă atât funcţionalităţi de tip SIEM – Security Information Event Management, cât şi SOAR – Security Orchestration Automated Response în acelaşi sistem. Mai mult, fiind un serviciu Azure, Sentinel are scalabilitate şi disponibilitate maximă şi este accesibil ca abonament lunar. Deci fără investiţii apăsătoare de la început, ceea ce îl face accesibil unei categorii largi de utilizatori.

Ce face mai exact Azure Sentinel?

În esenţă, stă de pază şi dă alarma. Funcționalităţile serviciului intră în patru mari categorii:

Colectează date din orice sursă, indiferent dacă este vorba de utilizatori, echipamente, aplicaţii – on premises sau în cloud,  furnizori de cloud – Azure, Amazon, Google, sisteme de operare, soluţii antivirus, baze de date, log-uri etc.

Detectează anomaliile şi ameninţările şi reduce volumul de alerte fals pozitive pe baza algoritmilor de Inteligenţă Artificială de la Microsoft

Investighează alertele reale şi urmăreşte activităţile suspicioase

Reacţionează la incidente şi automatizează acţiunile de contraatac

Cu reţele aflate permanent în stare de asediu, specialiştii (IT sau securitate cibernetică) depun un efort intens pentru a decela ameninţările şi alertele reale. Valoarea Azure Sentinel vine din capacitatea de analiză şi corelare a tuturor semnalelor procesate de sistem.

Azure Sentinel integrează algoritmi de machine learning care trasează o hartă a reţelei companiei şi definesc un comportament normal, ceea ce va face ca anomaliile să fie mult mai uşor de evidenţiat. Mai mult, Azure Sentinel învaţă prin analiza automată a celor 6.5 trilioane de semnale de securitate informatică captate de cloud-ul Microsoft în fiecare zi.

Cheia succesului – sursele de date

Primul pas în utilizarea Azure Sentinel este conectare la sursele de date. Pentru soluţiile / serviciile Microsoft – Azure Security Center, Cloud App Security, Microsoft Defender, Windows Firewall, Microsoft WAF, Azure Activity, Office 365 etc şi a altor producători cunoscuţi – Barracuda, Citrix, F5, ForcePoint, Squadra, Symantec, Zimperium, există un număr de conectori predefiniţi, ce oferă integrare în timp real.

Azure Sentinel poate fi conectat la aproape orice alte surse prin intermediul unui agent şi a unui protocol Syslog sau REST-API – CheckPoint, Cisco, F5, PaloAlto, TrendMicro, Zscaler, servere Linux, alţi furnizori de cloud etc. Datele din toate aceste surse sunt monitorizate şi analizate în timp real, iar ulterior livrate utilizatorilor prin intermediul unor rapoarte grafice interactive disponibile în portalul Azure.

Ce informaţii primesc utilizatorii?

În funcţie de selecţiile realizate – locaţii, grupuri de utilizatori, aplicaţii, intervale de timp etc, Azure Sentinel oferă informații precum:

Evenimente şi alerte. Soluţia listează evenimentele petrecute pe un anumit interval de timp şi alertele generate cu evidenţierea situaţiilor atipice şi care justifică o analiză amănunţită

Incidente cu potenţial maliţios. Detectează sursele suspicioase care generează sau primesc trafic şi semnalează atât dacă o persoană accesează reţeaua companiei de la o adresă IP vulnerabilă, cât şi dacă date din reţeaua companiei sunt expediate către o adresă IT maliţioasă.

Incidente recente. Raport cu incidentele recente în functie de severitate şi numărul de alerte asociate. Semnalează inclusiv atacurile în derulare.

Anomalii la nivelul surselor de date. Monitorizează permanent sursele de date, iar dacă sunt detectate anomalii, rezultatele sunt afişate administratorilor cu detalii despre momentul producerii, activităţi şi incidente corelate / simultane, posibile cauze etc.

Există deja peste 100 de alerte predefinite, precum şi un wizard ce permite crearea de reguli şi alerte noi, în conformitate cu cerinţele fiecărei organizaţii. Utilizatorii pot vizualiza conexiunile între diverse entităţi: utilizatori, echipamente, aplicaţii, URL-uri şi activităţile corelate: autentificări, transfer de date, utilizare pentru a putea înţelege rapid dispersia şi impactul unui incident. Prin integrarea cu alte servicii, Azure Sentinel propune măsurile optime de contracarare a atacurilor şi le poate genera automat în baza politicilor de securitate ale fiecărei organizaţii.

Azure Sentinel este  un serviciu esenţial pentru monitorizarea mediilor IT extrem de eterogene, detectarea ameninţărilor şi luarea unor măsuri proactive de apărare. Este recomandat cu precădere companiilor care utilează un numar mare de aplicaţii şi servicii, de la furnizori multipli.

Sentinel face parte din pachetul de servicii Azure Security, alături de Application Gateway Azure Active Directory, Azure DDoS Protection, VPN Gateway etc. Pentru testarea şi utilizarea Azure Sentinel este necesară o subscripţie Azure.

Pentru mai multe informaţii despre cum puteţi integra Azure Sentinel în oferta proprie de servicii, demo-uri şi scenarii practice de utilizare, contactaţi reprezentatul NOD din regiunea dvs.

 

© 2020 NOD Academy