Tech

Så här höjer du säkerheten med Azure Sentinel

Sentinel är ett molnbaserat SIEM-verktyg (Security Information and Event Management) som är enkelt att sätta upp och samlar in information från olika källor, både i molnet och på marken. Microsoft vill att Sentinel ska bli ditt centrala utrymme för att samla och analysera data från hela din miljö oavsett moln eller on-premises.

I början av 2019 släppte Microsoft tjänsten Sentinel i public preview.
Här nedan guidar Asurgents David Järnström dig genom sin labb-uppsättning av Sentinel och beskriver några av de många användbara funktioner som hjälper till att säkra din organisation. Du får även konkreta tips på hur du själv gör för att komma igång med Sentinel.

När Sentinel väl är på plats i organisationen kan roller som SecOps, CISO eller andra ansvariga bland annat:
  • samla data från hela miljön
  • hantera och spara loggar centralt
  • analysera stora mängder loggar
  • skapa alerts baserat på data
  • skapa ”playbooks” som utför önskade åtgärder som körs när en alert inträffar
  • hitta intrång eller försök till intrång (”Threat hunting”)

Komponenterna som bygger Sentinel

Sentinel är byggt ovanpå flera andra tjänster – helt i linje med Microsofts strategi att knyta ihop alla tjänster med varandra. Logganalys sker i Azure Monitor Logs (Log Analytics) vilken också är ett krav för att kunna använda Sentinel.

Azure Monitor Logs

Monitor Logs (Log analytics) är ett verktyg för att samla, analysera, visualisera och larmsätta loggar. Loggar kan vara allt från prestandadata från en server till Azure AD events om vem som har loggat in. mer information om just Monitor Logs finns i länken nedan.
Mer information om Azure Monitor Logs:
https://docs.microsoft.com/en-us/azure/azure-monitor/platform/data-platform-logs

Data Explorer och Kusto

För att utforska data använder Sentinel sig av Azure Data Explorer som kan hantera multipla dataflöden, samt språket Kusto Query Language (KQL) för att ställa frågor mot all data. Kusto är en blandning av SQL, Powershell och bash. Kan man MS SQL har man en extra kort startsträcka och kommer att känna igen sig.

Mer information om Azure Data Explorer och Kusto:
https://docs.microsoft.com/en-us/azure/data-explorer/
https://docs.microsoft.com/en-us/azure/kusto/query/

Machine learning

Microsoft har byggt in Machine learning (ML) i flera av sina produkter och Sentinel är inget undantag. Med hjälp av ML slipper vi analysera stora datamängder själva utan får relevant data presenterat för oss.

Datakällor

Sentinel har en mängd färdiga connectors för att börja konsumera på information. Precis som förväntat finns Microsoft tjänster som Office 365, Azure Active Directory (AAD), AAD Identity Protection, Azure Advanced Threat Protection, Cloud App Security & Azure Security Center med i listan. Men även andra företags tjänster finns representerade, exempelvis den stora konkurrenten Amazon Web Services (AWS) och andra partners som Palo Alto Networks, Cisco ASA, Check Point, Fortinet och F5.

Så testar du Sentinel

Bästa sättet att lära sig är alltid att testa och under preview-perioden kostar Sentinel inget, så det finns inget att förlora. Jag kommer inte skriva om alla steg hur man installerar allt eftersom det finns en hel uppsjö med bloggartiklar hur man installerar Sentinel. I min enkla labb har jag satt upp följande:

Ett isolerat virtuellt nätverk (vNET)

Jag har skapat ett vNET som är helt isolerat så att jag kan öppna upp alla möjliga säkerhetshål och testa grundligt, utan att ta onödiga risker. Inuti i nätet finns ett subnät där jag kan skapa min server.

Network Security Group (NSG) som tillåter allt

Enkelt förklarat är NSG en åtkomstlista där man tillåter trafik in och ut baserat på IP och portar. Jag har skapat en regel som tillåter hela världen att nå min server på alla portar. Detta är inget man bör göra för annat än testsyften – vilket Microsoft snabbt och vänligt påtalar för mig.

Virtuell server

En standard Windows-server med ett publikt IP, så att hela världen kan nå min server. Jag har aktiverat tilläggen ”Antimalware”, ”MMA” (Log analytics agent) och ”VM Insight” för att få lite mer insikt i min virtuella Windows-server.

Sentinel & Monitor Logs (Log Analytics)

Jag ställde in så att loggarna från NSG (NSG flow logs) arkiveras i mitt Log Analytics Workspace. När jag satte upp Sentinel pekade jag på mitt Log Analytics Workspace och jag ställde även in även tre stycken data connectors för att börja få in data om min server och nätverket den ligger på.

Vad som händer sedan

Efter att jag har satt upp allt lät jag allt vara igång några dagar för att se vad Sentinel kan berätta för mig om min labbmiljö och attackerna som skett mot den.

Malicious actors

I Sentinel finns det förinställda paneler som är anpassade för olika scenarion och datakällor. Som du kunde läsa tidigare aktiverade jag ”VM Insight” på min server, vilket innebär att jag har data för ”VM Insight dashboard”. Där kan vi se att Microsoft har identifierat en hel del intrångsförsök från ”Malicious actors” med ursprung i Vietnam, Frankrike och Indonesien, som försöker ta sig in i min server. Det här är bara en typ av data av flera som vi får från Sentinel.

Malicious actors är trafik som Microsoft identifierat som botnet eller andra typer av trafik som är skadliga.

Om jag byter till ”Network Watcher Dashboard”, som analyserar mina NSG Flow Logs får vi mer information, som till exempel vilka protokoll och portar som något försökt gå in via.

Sammanfattning

Microsoft fortsätter att satsa på säkerhetsrelaterade produkter. Även om Sentinel inte har samma funktioner som andra Enterprise SIEM, ännu, så är det redan en bra tjänst som de flesta organisationer kan dra nytta av. Utmaningen blir att faktiskt ha någon/några som analyserar och agerar på alla insikter man får.

Än så länge finns ingen prislapp för Sentinel men med tanke på att man redan betalar för alla loggar i Monitor Logs (Log Analytics) så hoppas vi på att Microsoft inte sätter en hög kostnad.

Jag kommer att återkomma till Sentinel och gräva lite djupare i dom olika delarna i bloggar framöver!

David Järnström
Cloud Architect, Asurgent

Upptäck mer