I början av 2019 släppte Microsoft tjänsten Sentinel i public preview och i september lämnade Sentinel preview och blev ”GA”. Sentinel är ett molnbaserat SIEM (Security Information and Event Management) verktyg som är enkelt att sätta upp och samlar in information från olika källor. Microsoft vill att Sentinel ska bli ditt centrala utrymme för att samla och analysera data från hela din miljö oavsett moln eller on-premises. Väl på plats kan roller som SecOps, CISO eller andra ansvariga:
- Samla data från hela miljön
- Managera och spara loggarna centralt
- Analysera stora mängder loggar
- Skapa alerts baserat på din data
- ”Threat hunting”, hitta intrång eller försök till intrång
- Skapa ”playbooks” som utför önskat antal åtgärder som automatiskt triggas när en alert inträffar
Byggblocken
Sentinel är byggt ovanpå flera andra tjänster vilket är i linje med Microsoft’s strategi att knyta ihop alla tjänster med varandra. Logganalys sker i Azure Monitor Logs (aka Log Analytics) vilket också är ett pre-req för att kunna använda Sentinel.
Azure Monitor Logs (Log Analytics)
Monitor Logs är ett verktyg för att samla, analysera, visualisera och larmsätta loggar. Loggar kan vara allt från performance counters inuti en server, Azure AD events om vem som har loggat in osv. Mer information om just Monitor Logs finns i länken nedan.
Data explorer & Kusto
För att utforska loggar använder Sentinel sig av Azure Data Explorer som kan hantera multipla dataflöden samt språket Kusto Query Language (KQL) för att ställa frågor. Kusto är en blandning av SQL, Powershell och bash, kan man MS SQL har man en extra kort startsträcka och kommer känna igen sig ofta.
Machine learning
Microsoft har byggt in Machine learning i flera av deras produkter och Sentinel är
inget undantag, med hjälp av ML så slipper vi analysera mängder av data själva
utan får relevanta events presenterat för oss.
Datakällor
Sentinel har ca 30 st färdiga connectors för att vi enkelt ska börja kunna konsumera loggar, helt förväntat så finns Microsoft tjänster som Office 365, Azure Active Directory (AAD), AAD Identity Protection, Azure Advanced Threat Protection, Cloud App Security & Azure Security Center men även andra företags tjänster som stora konkurrenten Amazon Web Services (AWS) och andra partners som Palo Alto Networks, Cisco ASA, Check Point, Fortinet & F5. Microsoft har även gått ut och sagt att dom jobbar hårt på att ta fram connectors för alla större och vanliga system som kan vara av intresse!
Kostnader
Under preview var Sentinel gratis men när den lämnade och blev GA så har Microsoft satt en prislapp. Det är inte helt enkelt att förstå hela kostnadsbilden eftersom det är flera olika Azure tjänster som man kan använda ihop med Sentinel där alla har en egen kostnad,
Sentinel – kostnadsmodellen
Priset för Sentinel är per GB analyserade data, detta ska inte förväxlas med all data som konsumeras via data connectors och sen arkiveras. Utan när vi ställer queries och gör analyser på ett subset av sparad data så är det den mängden data som driver kostnaden.
Kostnaden är ca 23 kr per analyserad GB och om man vet att man kommer analysera stora mängder data så finns alternativet ”Capacity Reservations” som är en fast summa och ger en fast mängd data med en rabatt från Microsoft.
Azure Monitor Logs (Log Analytics) – Kostnadsmodell
Det finns alltid ett Azure Monitor Logs workspace knutet till Sentinel där alla loggar arkiveras. Kostnaden består av 2 delar; data som arkiveras samt långtidslagring av data.
För varje GB data som arkiveras ner till ditt workspace tar Microsoft ca 26 kr och för att långtids lagra kostar det ca 1,2 kr per GB och månad.
Microsoft tar inte betalt för första 5 GB data som arkiveras varje månad och du får spara data gratis i 31 dagar. När du knyter Sentinel till ditt workspace utökas dessutom antal gratis dagar till 90 dagar.
Om man sparar stora mängder data kan man även här köpa ”Capacity Reservations” där man betalar en fast summa och får då rabatt av Microsoft.
Exempel
Om vi läser in och arkiverar 6 GB data till Sentinel så betalar vi ca 26 kr (första 5 GB är gratis). Skulle vi välja att lagra data i över 90 dagar tillkommer ca 1 kr/dag(första 90 dagar gratis).
Och det här är grundkostnaderna som alltid finns i alla uppsättningar, om man bygger vidare med ex ”playbooks”/logic app som ska utföra automatiska åtgärder i Sentinel så tillkommer det en kostnad för den Logic App som triggas.
Vill du ex även ha in data från Azure Security Center så finns det en kostnad per VM, databas, IoT device som ligger i ett Subscription. Denna kostnad hamnar på Security Center och inte hos Sentinel men det är ett krav för att Security Center ska generera data som senare kan konsumeras in i Sentinel.
Gratis datakällor
För att göra det hela lite krångligare (men billigare) att räkna ut hur mycket Sentinel kommer kosta så har Microsoft bestämt att vissa typer av datakällor är helt gratis att analysera i Sentinel.
- Azure Activity Logs
- Office 365 Audit Logs
- Microsoft Threat Protection Logs
Ovan tre datakällor är alltså helt gratis att analysera i Sentinel men det tillkommer kostnad om du bestämmer dig för att långtidslagra data mer än 90 dagar. Här ska vi poängtera att bakom Microsoft Threat Protection gömmer sig många olika typer av data:
Dags att testa
Bästa sättet att lära sig är alltid att testa. Jag kommer inte skriva om alla steg hur man installerar eftersom det finns en hel uppsjö med bloggartiklar hur man installerar Sentinel, i min enkla labb har jag satt upp följande:
Virtuellt nätverk(vNET)
Jag har skapat ett vNET som är helt isolerat så jag kan öppna upp alla möjliga säkerhetshål och labba sönder saker. Inuti i nätet finns ett subnät så att jag kan skapa min server.
Network Security Group (NSG)
Enkelt förklarat är NSG en access lista där man tillåter trafik in och ut baserat på IP och portar. Jag har skapat en regel som tillåter hela världen att nå min server på alla portar, inget man ska göra vilket Microsoft vänligt påtalar för mig.(Tänk vad bra om miljön i ”vårdguiden 1177 skandalen” hade legat i Azure istället för on-prem så hade dom insett att det var exponerat).
Virtuell server
En standard windows server med ett publikt IP så hela världen kan nå min server. Jag har aktiverat ”Antimalware”, ”MMA”(Log analytics agent) & ”VM insight” extensions för att få lite mer insikt i min VM.
Sentinel & Azure Monitor Logs (Log Analytics)
Jag konfigurerade att loggarna från NSG (NSG flow logs) arkiveras i mitt Azure Monitor Logs workspace. När jag deployade Sentinel pekade jag på samma Workspace samt konfigurerade även 3 st data connectors för att börja få in data om min server och nätverket den ligger på.
Vad hände sen
Efter att jag har satt upp allt lät jag allt vara igång några dagar för att sen se vad Sentinel kan berätta för mig om min miljö och vilka events som skett.
Malicious actors
I Sentinel finns det förkonfigurerade dashboards som är anpassade för olika scenarion och datakällor. Jag aktiverade ”VM Insight” på min server så jag har data för ”VM Insight dashboard”, där kan vi se att Microsoft har identifierat en hel del försök från ”Malicious actors” från Vietnam, Frankrike och Indonesien som försöker ta sig in i min server. Det här är bara en typ data av flera som vi får från Sentinel.
* Malicious actors är trafik som Microsoft identifierat som botnet eller andra typer av trafik som är skadliga.
Om jag byter till ”Network Watcher Dashboard” som analyserar mina NSG flow logs får vi mer information som vilka protokoll och portar som något försöker gå via.
Sammanfattning
Microsoft fortsätter att satsa på säkerhetsrelaterade tjänster och Sentinel placerar sig riktigt stark för företag som befinner sig bland publika molntjänster antingen helt eller hybrid. Det är enkelt att komma igång och Microsoft fortsätter att förenkla on-boarding av datakällor för oss. Utmaningarna för företag blir att faktiskt börja använda Sentinel på riktigt och analysera events, nu finns det ingen ursäkt att det är dyrt och krångligt att komma igång längre.
I vår guide Hur säkert är molnet? 3 Microsoft-tjänster ur ett säkerhetsperspektiv går vi igenom hur du kan använda de tre intelligenta Microsofttjänsterna Microsoft 365 E5, Microsoft Azure och Windows Virtual Desktop för ökad säkerhet i molnet.
