Microsoft Azure Sentinel
18 listopada 2020
SIEM wbudowany w platformę chmurową
Analiza bezpieczeństwa IT dla dużych firm
Microsoft Azure Sentinel to pierwszy przykład rozwiązania SIEM (Security Incident and Event Management) wbudowanego w dużą platformę chmurową, które zapewnia szeroką analitykę bezpieczeństwa dla środowisk większych organizacji w połączeniu z możliwością pełnej skalowalności.
Azure Sentinel pozwala na zbieranie danych dotyczących bezpieczeństwa w całości środowiska hybrydowego organizacji: z urządzeń, aplikacji, użytkowników, serwerów lub innych wykorzystywanych rozwiązań chmurowych.
Automatyzacja zadań SecOps
Microsoft Azure Sentinel posiada wbudowane mechanizmy AI (artificial intelligence) oraz ML (machine learning). Stanowiąc część Azure, Sentinel oferuje praktycznie nielimitowaną moc obliczeniową chmury, automatyzując nawet do osiemdziesięciu procent najczęściej pojawiających się zadań zaliczanych do obszaru aktywności specjalistów SecOps.
Wykorzystując technologię sztucznej inteligencji, Azure Sentinel szybko identyfikuje prawdziwe zagrożenia, zdejmując z administratora IT konieczność poświęcania czasu na realizację tradycyjnego zarządzania incydentami bezpieczeństwa lub zdarzeniami, dzięki automatyzacji w obszarze konfiguracji, utrzymania oraz skalowania infrastruktury.
Rosnąca ilość danych do analizy
Rosnąca ilość danych, które należy poddać analizie w kontekście bezpieczeństwa IT, jest nie lada wyzwaniem dla zespołów SOC (Security Operations Center). Wnioski z przeprowadzonych obserwacji w ostatnim czasie pokazują, że trzy czwarte organizacji zanotowało wzrost ilości danych związanych z bezpieczeństwem (security data).
Biorąc pod uwagę niską podaż inżynierów specjalizujących się w bezpieczeństwie IT na rynku pracy, prawie połowa alertów bezpieczeństwa IT w organizacjach nie trafia do dokładnego rozpoznania.
Skuteczność monitoringu bezpieczeństwa IT oraz przygotowanych strategii reagowania na zdarzenia zależna jest przede wszystkim od możliwości zbierania i analizy dużych ilości danych, które wykorzystywane są w nowoczesnych rozwiązaniach bezpieczeństwa wykorzystujących modele uczenia maszynowego (ML).
Złożoność danych oraz dynamika zmian
Od ponad dekady, SecOps wdraża i wykorzystuje rozwiązania SIEM do zbierania i analizowania danych dotyczących bezpieczeństwa oraz reagowania na ogromne liczby alertów, w celu zapewnienia specjalistom przejrzystego zestawienia danych do monitorowania w danym momencie.
Zadanie nie jest łatwe, skala, poziom skomplikowania, szybkość zmian w środowiskach korporacyjnych powodują, że rozwiązania SIEM stają się nie tylko trudne do kontroli, ale również kosztowne w budowie i utrzymaniu.
Ogromne ilości danych, które są generowane przez rozwiązania SIEM, przekraczają możliwości poznawcze administratora i wymagają najczęściej korzystania z pomocy analityków w celu wdrożenia modeli analizy pozyskanych danych.
SIEM wbudowany w chmurę
Microsoft Azure Sentinel został stworzony w odpowiedzi na potrzeby generowane przez wcześniejsze doświadczenia z systemami do zarządzania informacją i zdarzeniami bezpieczeństwa. Azure Sentinel jest pierwszym rozwiązaniem SIEM wbudowanym w chmurę publiczną i został zaprojektowany tak, by zapewniać główne wsparcie dla jednostek organizacyjnych zajmujących się monitorowaniem bezpieczeństwa infrastruktury (SOC).
Źródła danych dla Azure Sentinel
Włączanie Azure Sentinel w tenancie Azure
W celu rozpoczęcia korzystania z Azure Sentinel, usługa musi zostać włączona w tenancie Azure, a następnie powinno zostać skomunikowane przynajmniej jedno źródło danych. Azure Sentinel posiada wiele wbudowanych złącz danych związanych z innymi produktami i usługami Microsoft oraz rozwiązaniami od innych producentów. Azure Sentinel akceptuje dane w standardzie CEF (common event format), syslog lub REST-API.
Wymogi wstępne dla uruchomienia Azure Sentinel to: aktywna subskrypcja Azure, dostępna przestrzeń do analizy logów, uprawnienia do wdrożenia oraz używania Sentinel.
Monitorowanie danych w celu weryfikacji tożsamości użytkowników
Dynamiczne zmiany spowodowane między innymi upowszechnianiem się modelu pracy zdalnej, powodują, że firmy nie mają dotychczasowego poziomu bezpośredniej kontroli nad użytkownikami, urządzeniami użytkowników, wykorzystywanymi aplikacjami, infrastrukturą lub danymi, do których użytkownicy uzyskują dostęp. Sami użytkownicy preferują rozwiązania umożliwiające szybki dostęp do ważnych danych i najlepiej z wielu urządzeń.
Pojawia się zatem konieczność, by oprócz monitorowania parametrów sieci, kłaść coraz większy nacisk na sygnały dotyczące tożsamości użytkowników, dla uzyskania pewności, że właściwy użytkownik posiada dostęp do właściwych danych, na właściwych urządzeniach.
Wiele źródeł danych
Dla optymalizacji oceny bezpieczeństwa przez Azure Sentinel, polecane jest skonfigurowanie źródeł danych z wielu produktów, usług oraz lokalizacji, uwzględniając m.in.: produkty i usługi Microsoft, systemy on-premise, aplikacje SaaS, środowiska chmurowe innych dostawców (np. AWS).
Źródła danych mogą być połączone z Azure Sentinel za pomocą kilku metod. Możliwe jest wykorzystanie przygotowanych i dostępnych w Azure Sentinel łącz danych, których aktywowanie nie wymaga wysiłku po stronie administratora i sprowadza się do wykonania kilku kliknięć. Jeżeli poszukiwane źródło danych nie jest widoczne w puli źródeł prekonfigurowanych, wówczas logi i alerty mogą być przyjmowane za pomocą syslog, CEF lub REST-API. Niektóre źródła danych spoza Microsoft można podłączyć z wykorzystaniem udostępnionych po stronie źródła danych interfejsów API.
Bezpłatna możliwość korzystania ze źródeł danych
Przed podłączeniem określonych źródeł danych do Azure Sentinel warto wziąć pod uwagę ewentualne koszty korzystania z danych źródeł. Aktualnie można korzystać bezpłatnie z logów oraz alertów generowanych przez Microsoft.
- Logi aktywności z Azure.
- Logi z Office 365, włączając aktywność w SharePoint oraz aktywność administracyjną w Exchange.
- Alerty z produktów Microsoft Threat Protection: Azure Security Center, Office 365 ATP, Azure ATP, Microsoft Defender ATP, Microsoft Cloud App Security, Azure Information Protection.
Rekomendowane źródła danych
Wybór źródeł danych i połączenie z Azure Sentinel realizowany jest przez administratora w zakładce Data Connectors w panelu zarządzania. Microsoft przygotował rekomendowaną listę źródeł danych.
- Logi pochodzące z ADFS (Active Directory Federation Services). ADFS umożliwia bezpieczne udostępnianie informacji o tożsamości cyfrowej oraz uprawnieniach użytkowników w ramach organizacji. Usługi ADFS służą do przeprowadzania uwierzytelniania i autoryzacji składników działających w ramach infrastruktury firmy, umożliwiając uzyskanie pojedynczego logowania (single sign-on), co znacznie podnosi komfort pracy dla użytkowników.
- Logi aktywności Azure AD, które pozwalają na uzyskanie odpowiedzi na pytania “kto, co, kiedy” dla aktywności realizowanej w zasobach wchodzących w skład subskrypcji usług chmurowych. Zaleca się uwzględnienie logów aktywności: Azure AD audit logs activity report, Azure AD sign-in activity report, Azure activity.
- Alerty pochodzące z Azure AD Identity Protection, będącej usługą bezpieczeństwa pozwalającą na automatyzację wykrywania oraz stosowania środków zaradczych w przypadku wystąpienia ryzyka dotyczącego tożsamości użytkowników.
- Alerty Azure Advanced Threat Protection. Azure ATP to rozwiązanie chmurowe wykorzystujące dane z lokalnego AD do wykrywania oraz badania złożonych zagrożeń, zagrożonych tożsamości lub złośliwych działań w organizacji. Azure ATP określa poziom bazowy oczekiwanego zachowania użytkownika i wyodrębnia wszelkie nieprawidłowe czynności.
- Alerty Azure Information Protection. Azure AIP to rozwiązanie chmurowe, które klasyfikuje i chroni dokumenty oraz wiadomości e-mail na podstawie zastosowanych etykiet. Etykiety mogą być dodawane manualnie przez użytkowników, automatycznie przez zdefiniowane reguły i warunki oraz przez kombinację wymienionych dwóch sposobów. Alerty AIP wskazują na podejrzaną aktywność związaną z dążeniem do uzyskania dostępu do zastrzeżonych informacji lub zmiany poziomu klasyfikacji takich danych.
- Logi Azure Key Vault będącego narzędziem do bezpiecznego przechowywania i dostępu do poufnych danych, takich jak: klucze API, hasła, certyfikaty.
- Alerty Azure Security Center. Azure ASC pozwala na zarządzanie stanami zabezpieczeń m.in.: rozwiązań chmurowych, maszyn wirtualnych on-premise, serwerów Windows oraz Linux, rozwiązań IoT. Udostępnienie alertów ASC dla Azure Sentinel pozwala na automatyczne tworzenie incydentów oraz uruchamianie procedur badania i przeciwdziałania zagrożeniu.
- Alerty z najważniejszych aplikacji wykorzystywanych w działalności firmy. Jeśli organizacja korzysta z istotnych dla siebie aplikacji, które mają możliwość generowania danych dotyczących alertów bezpieczeństwa za pomocą protokołu syslog lub CEF, cenne będzie udostępnienie takich danych dla Azure Sentinel.
- Logi z urządzeń wspierających format CEF, m.in.: Check Point, Cisco ASA, ExtraHop, Reveal(x), F5, Forcepoint products, Fortinet, Palo Alto Networks, One Identity Safeguard, Trend Micro Deep Security, Zscaler, Linux servers, Amazon Web Services.
- Zewnętrzne źródła korzystające z API, m.in.: Barracuda, Barracuda CloudGen Firewall, Citrix Analitics, F5 BIG-IP, Forcepoint DLP, Symantec ICDX, Zimperium.
- Alerty Microsoft Cloud App Security. MCAS to rozwiązanie pełniące rolę brokera zabezpieczeń dostępu do usług chmurowych, który pozwala na różne tryby wdrożenia, uwzględniając m.in. generowanie logów, realizację funkcji łącznika interfejsu API oraz zwrotnego serwera proxy. MCAS zapewnia rozbudowaną widoczność, kontrolę nad ścieżką przesyłania danych oraz zaawansowaną analitykę służącą identyfikacji i zwalczaniu zagrożeń. Alerty mogą wskazywać na niezatwierdzone próby importu lub eksportu wrażliwych danych oraz inicjowane spoza sieci firmowej próby uzyskania dostępu do danych.
- Alerty Microsoft Defender ATP, który jest platformą wspierającą sieć firmową w zakresie wykrywania, ochrony, badania i realizowania odpowiedzi na zaawansowane zagrożenia. Microsoft Defender ATP jest dostępny na wielu systemach operacyjnych, m.in: Windows 10, macOS, Linux, iOS oraz Android. Platforma zapewnia ochronę prewencyjną dla urządzeń końcowych, wykrywanie włamań oraz przeprowadzanie automatycznego dochodzenia i odpowiedzi.
- Alerty Office 365 Advanced Threat Protection. Office 365 ATP może zostać skonfigurowane do ochrony chmurowych, on-premise oraz hybrydowych wdrożeń Exchange, w celu ostrzegania o zagrożeniach skierowanych w użytkowników w organizacji, jak np. złośliwe załączniki lub wiadomości e-mail o charakterze phishingowym.
- Logi Office 365 Audit, które umożliwiają widoczność aktywności użytkowników (czynności i wydarzenia związane z użytkownikami, administratorami, systemami). Dane mogą być wykorzystane do przygotowania niestandardowych alarmów lub ulepszania procesów badania wydarzeń.
- Logi Azure Monitor. Korzystając z protokołu REST-API, Azure Sentinel może uwzględnić logi dotyczące danych telemetrycznych ze środowisk lokalnych oraz chmurowych generowane przez Azure Monitor, który służy do maksymalizacji wydajności oraz dostępności aplikacji dzięki możliwości proaktywnego identyfikowania potencjalnych problemów.