- Samla data från hela miljön
- Managera och spara loggarna centralt
- Analysera stora mängder loggar
- Skapa alerts baserat på din data
- ”Threat hunting”, hitta intrång eller försök till intrång
- Skapa ”playbooks” som utför önskat antal åtgärder som automatiskt triggas när en alert inträffar
Byggblocken
Azure Monitor Logs (Log Analytics)
Monitor Logs är ett verktyg för att samla, analysera, visualisera och larmsätta loggar. Loggar kan vara allt från performance counters inuti en server, Azure AD events om vem som har loggat in osv. Mer information om just Monitor Logs finns i länken nedan.

Data explorer & Kusto
För att utforska loggar använder Sentinel sig av Azure Data Explorer som kan hantera multipla dataflöden samt språket Kusto Query Language (KQL) för att ställa frågor. Kusto är en blandning av SQL, Powershell och bash, kan man MS SQL har man en extra kort startsträcka och kommer känna igen sig ofta.
Machine learning
Datakällor
Sentinel har ca 30 st färdiga connectors för att vi enkelt ska börja kunna konsumera loggar, helt förväntat så finns Microsoft tjänster som Office 365, Azure Active Directory (AAD), AAD Identity Protection, Azure Advanced Threat Protection, Cloud App Security & Azure Security Center men även andra företags tjänster som stora konkurrenten Amazon Web Services (AWS) och andra partners som Palo Alto Networks, Cisco ASA, Check Point, Fortinet & F5. Microsoft har även gått ut och sagt att dom jobbar hårt på att ta fram connectors för alla större och vanliga system som kan vara av intresse!

Kostnader
Sentinel – kostnadsmodellen
Kostnaden är ca 23 kr per analyserad GB och om man vet att man kommer analysera stora mängder data så finns alternativet ”Capacity Reservations” som är en fast summa och ger en fast mängd data med en rabatt från Microsoft.

Azure Monitor Logs (Log Analytics) – Kostnadsmodell

Exempel
Om vi läser in och arkiverar 6 GB data till Sentinel så betalar vi ca 26 kr (första 5 GB är gratis). Skulle vi välja att lagra data i över 90 dagar tillkommer ca 1 kr/dag(första 90 dagar gratis).
Och det här är grundkostnaderna som alltid finns i alla uppsättningar, om man bygger vidare med ex ”playbooks”/logic app som ska utföra automatiska åtgärder i Sentinel så tillkommer det en kostnad för den Logic App som triggas.
Gratis datakällor
- Azure Activity Logs
- Office 365 Audit Logs
- Microsoft Threat Protection Logs
Ovan tre datakällor är alltså helt gratis att analysera i Sentinel men det tillkommer kostnad om du bestämmer dig för att långtidslagra data mer än 90 dagar. Här ska vi poängtera att bakom Microsoft Threat Protection gömmer sig många olika typer av data:

Dags att testa
Bästa sättet att lära sig är alltid att testa. Jag kommer inte skriva om alla steg hur man installerar eftersom det finns en hel uppsjö med bloggartiklar hur man installerar Sentinel, i min enkla labb har jag satt upp följande:

Virtuellt nätverk(vNET)
Network Security Group (NSG)
Enkelt förklarat är NSG en access lista där man tillåter trafik in och ut baserat på IP och portar. Jag har skapat en regel som tillåter hela världen att nå min server på alla portar, inget man ska göra vilket Microsoft vänligt påtalar för mig.(Tänk vad bra om miljön i ”vårdguiden 1177 skandalen” hade legat i Azure istället för on-prem så hade dom insett att det var exponerat).

Virtuell server
Sentinel & Azure Monitor Logs (Log Analytics)
Jag konfigurerade att loggarna från NSG (NSG flow logs) arkiveras i mitt Azure Monitor Logs workspace. När jag deployade Sentinel pekade jag på samma Workspace samt konfigurerade även 3 st data connectors för att börja få in data om min server och nätverket den ligger på.

Vad hände sen
Malicious actors
I Sentinel finns det förkonfigurerade dashboards som är anpassade för olika scenarion och datakällor. Jag aktiverade ”VM Insight” på min server så jag har data för ”VM Insight dashboard”, där kan vi se att Microsoft har identifierat en hel del försök från ”Malicious actors” från Vietnam, Frankrike och Indonesien som försöker ta sig in i min server. Det här är bara en typ data av flera som vi får från Sentinel.

* Malicious actors är trafik som Microsoft identifierat som botnet eller andra typer av trafik som är skadliga.
Om jag byter till ”Network Watcher Dashboard” som analyserar mina NSG flow logs får vi mer information som vilka protokoll och portar som något försöker gå via.

Sammanfattning
Microsoft fortsätter att satsa på säkerhetsrelaterade tjänster och Sentinel placerar sig riktigt stark för företag som befinner sig bland publika molntjänster antingen helt eller hybrid. Det är enkelt att komma igång och Microsoft fortsätter att förenkla on-boarding av datakällor för oss. Utmaningarna för företag blir att faktiskt börja använda Sentinel på riktigt och analysera events, nu finns det ingen ursäkt att det är dyrt och krångligt att komma igång längre.
I vår guide Hur säkert är molnet? 3 Microsoft-tjänster ur ett säkerhetsperspektiv går vi igenom hur du kan använda de tre intelligenta Microsofttjänsterna Microsoft 365 E5, Microsoft Azure och Windows Virtual Desktop för ökad säkerhet i molnet.