Tech

Vad är Azure Sentinel?

Azure Sentinel är ett molnbaserat säkerhetssystem som kan utföra automatiserade åtgärder och agera på incidenter och hot. Sentinel kan koppla ihop loggar från alla dina system och kan med stöd av AI och machine learning ge dig insikter kring din data för att agera proaktivt kring din IT-säkerhet.

Azure Sentinel – ett kraftfullt verktyg

Azure Sentinel är både ett SIEM-system (Security Information and Event Management) och ett SOAR-system (Security Orchestration, Automation and Response). Ett SIEM samlar information från flera olika system för att upptäcka intrångsförsök, avvikande beteenden, eller säkerhetshot. SOAR är ett system som kan agera på incidenter automatiskt och förbättra försvarsmekanismerna baserat på informationen från SIEM-systemet. I Azure Sentinel kombineras dessa egenskaper för att skapa ett så kraftfullt säkerhetsverktyg som möjligt.

Så fungerar det

Samla allt på ett ställe

Du kan snabbt och enkelt koppla ihop alla dina molntjänster med Azure Sentinel. Det finns ingen begränsning till Azure-tjänster – du kan koppla in både AWS och dina On-Prem-system. Azure Sentinel samlar in loggarna från alla dina olika tjänster i ett och samma system.

AI och machine learning

I Azure Sentinel får du tillgång till både AI och machine learning utvecklat av Microsoft. Du behöver alltså inte utveckla egna machine learning-modeller, även om det snart finns möjlighet till det. Det finns färdiga modeller som ständigt är under utveckling av Microsofts machine learning-ingenjörer som du kan använda dig av.

Upptäcka och agera på säkerhetshot

Du kan snabbt upptäcka incidenter och eventuella hot genom att larmsätta avvikande beteenden och mönster, eller specifika mätpunkter. Genom att använda funktionen Playbooks kan du skapa automatiserade åtgärder som direkt agerar på säkerhetshoten. Du kan till exempel skapa en åtgärd som körs när systemet upptäcker att en användare har loggat in från fysiska platser inom ett kortare tidsspann än vad det är fysiskt möjligt att resa mellan dessa. Åtgärden kan innefatta ett flöde av flera händelser; som att låsa kontot, lägga upp ett ärende i ärendehanteringssystemet och skicka iväg ett mail till berörda personer – helt automatiserat.

Visualisera hela attack-kedjan

Genom analysverktyget kan du spåra hela tidslinjen av en säkerhetsincident. Du får en visuell bild av attacken och kan bilda dig en uppfattning om vad som hänt och vilka komponenter som var inblandade.

Inga onödiga larm och notiser

En funktion som inte ska underskattas! Att behöva hantera larm som inte är relevanta kan vara otroligt tidsödande. Azure Sentinels AI och machine learning känner igen olika typer av larm och kan sortera bort de som inte är relevanta för verksamheten. Tjänsten är också tillräckligt smart för att förstå att du inte behöver få 20 larm för en incident, utan samlar ihop dem i ett enda ärende.

Varför Azure Sentinel?

Azure Sentinels styrka är att tjänsten fungerar som en sambandscentral för att upptäcka och agera på säkerhetshot i alla dina molntjänster. Tack vare välutvecklad AI kan den också hantera avancerade frågeställningar och analysera beteenden. Några av fördelarna med Azure Sentinel är:
  • Onboarding-processen är snabb. När du aktiverar tjänstens färdiga “connectors” samlas det snabbt in data från olika tjänster. Efter bara några timmar kan du se färdiga dashboards och få insikter i din data.
  • Molnet ger unik skalbarhet. Du kan lagra oändliga mängder data utan att behöva köpa fler hårddiskar. Med On-Prem-baserade SIEM-system blir du begränsad till egen hårdvara.
  • AI och machine learning i världsklass. Tack vare Microsofts stora datamängd har du möjlighet att nyttja AI-modeller i absolut framkant.
  • Du får en tydlig översikt över säkerheten i hela din molnmiljö och har möjlighet att skapa rapporter som tydligt visualiserar datan.
  • Genom Azure Sentinel får du tillgång till ett världsomspännande community som samarbetar för att hitta nya sätt att upptäcka och agera på hot.

Viktigt att tänka på

Du kommer att behöva en kortare inlärningsperiod med Azure Sentinel för att förstå hur du ställer frågor om datan. Frågorna ställs genom Azure Monitor Log Analytics query-språk som heter KQL (Kusto Query Language) – en blandning av språken Powershell, SQL och Bash. Du kan hämta mycket från Microsoft-communityt, men företagsspecifika frågor behöver du skapa själv. Om du inte har möjlighet att lära dig allt från grunden kan du alltid ta hjälp av en samarbetspartner för att skapa dina frågor.
Kom också ihåg att du måste arbeta löpande med Azure Sentinel för att du ska lyckas med ditt säkerhetsarbete. Det räcker inte med att installera tjänsten. Bygg dina Playbooks och ta dig tid att förstå den data du ska använda. Då kommer du verkligen se kraften i Azure Sentinel!
Hoppas att du fått en tydlig bild av vad Azure Sentinel kan erbjuda. Lär dig mer om hur tjänstens olika användningsområden i vår guide Hur säkert är molnet? 3 Microsoft-tjänster ur ett säkerhetsperspektiv

 

Upptäck mer