Azure Sentinel: Wat kan je met de nieuwe security oplossing van Microsoft?

Azure Sentinel is een van de nieuwste security producten van Microsoft. Maar wat is nu precies het doel van Azure Sentinel binnen de Microsoft omgeving? We gaan er in dit artikel verder op in. 

Laten we beginnen met de basis van Azure Sentinel. Azure Sentinel is Microsofts cloud-native Security Information Event Management (SIEM)-oplossing. Deze oplossing is vooral een antwoord van Microsoft op de vraag om de security toepassingen schaalbaar te maken en vooral door eenvoudig beheer.

Overgang naar de cloud

De visie naar de cloud neemt in een flink tempo een spring in de wereld van IT. Ook de focus van Microsoft 365 is steeds meer cloud gericht. Heel wat organisaties gebruiken vandaag toepassingen van Microsoft 365. Naast de Microsoft 365 oplossingen maken ook steeds meer bedrijven gebruik van Azure. Standaard zijn er verschillende beveilings-toepassingen beschikbaar. Maar tot voorheen ontbrak de mogelijkheid om de beveiligingsgegevens van gebruikers, endpoints, mobiele devices te combineren met de applicaties en de onderliggende infrastructuur. En wanneer mogelijk – niet alleen van Azure, maar ook centrale systemen zoals een Cisco ASA of andere firewall’s en platformen. Met Azure Sentinel is dit mogelijk, voor een relatief betaalbare prijs, in vergelijking met de high-end security toepassingen.

De motor van Sentinel

Azure Sentinel is cloud-native gebaseerd en gericht en ontwikkeld op het Azure platform welke gebruik maakt van bestaande Azure toepassingen en services.

Om een overzicht te geven is de volledige analyse gericht op Log Anaytics. Dit platform maakt al jaren onderdeel uit van het Azure Monitor platform. Via KQL is het mogelijk om gebruik te maken van de queries. Onderzoek in data wordt geleverd via de Data Explorer.

Gebruiksvriendelijkheid is belangrijk, om deze reden heeft Microsoft ervoor gekozen om een tal van connectors standaard beschikbaar te stellen voor de klanten. Zo zijn er voor tientallen services al connectors beschikbaar. En de verwachting is dat er nog meer bij zullen komen welke je via een paar klikken kan activeren.

Connectors

Connectors als Azure Active Directory (AAD), AAD Identity Protection, Azure Advanced Threat Protection, Cloud App Security. Ook Azure Security Center, Azure Activity, Information Protection en de Azure Web Applicatie Firewall zijn onder andere te vinden. Al is het aanbod nog veel groter.

Vooral opvallend is de mogelijkheid om connectors te gebruiken van externe platformen. Zo is het eenvoudig om de Cisco ASA logs te koppelen of de diensten van Amazon Web Services. Maar ook Palo Alto Network, Check Point, Fortinet, F5 en Barracuda zijn te vinden op de overzichtspagina.

Het is hierdoor niet een product welke het wiel opnieuw heeft uitgevonden. Maar wel een product welke gebruik maakt van bestaande oplossingen welke zich al bewezen hebben binnen het Azure landschap. Azure Sentinel is vooral interessant om data te koppelen tussen meerdere systemen en platformen om vervolgens verdachte situaties te onderzoeken.

AI en Machine Learning

Volgens Microsoft is het belangrijkste kenmerk van Sentinel het gebruik van machine learning en AI. Hierdoor kunnen inkomende gegevens worden geanalyseerd en aangepast aan zich ontwikkelende bedreigingen Sentinel heeft ook de mogelijkheid om taken te automatiseren.

Starten?

Strarten met Azure Sentinel is met technische kennis van Azure behoorlijk eenvoudig. De belangrijkste stappen zijn:

  1. Azure Sentinel toevoegen aan je Azure account
  2. Connecten van de databronnen
  3. Aanmaken van regels
  4. Data inzichtelijk maken via workbooks
  5. Data onderzoeken, om vervolgens te fine-tunen

Azure Sentinel is een kosteneffectieve, cloud-native SIEM met een voorspelbare facturering. In vergelijking met concurrenten is dit een enorm voordeel, waar de concurrentie vaak is gericht op jaarlijkse verplichtingen of inflexibele contracten. De prijs is 2,46 dollar per GB aan gegevens welke zijn geanalyseerd door de tool. Daarnaast zijn er meer tariefschema’s beschikbaar welke voordeliger zijn als het gaat om grotere hoeveelheden.

Via Microsoft is het mogelijk om de snelstart gids te downloaden gericht op Azure Sentinel.