Microsoft Azure Sentinel

Azure Sentinel is een totaaloplossing van Microsoft voor het beveiligen van clouddiensten. Het combineert SIEM met SOAR, waardoor Azure Sentinel niet alleen bedreigingen kan signaleren en analyseren, maar er ook op kan reageren in het geval van een dreiging.

In de praktijk heeft Azure Sentinel vier kerntaken:

1. Verzamelen van gegevens uit de cloud, van gebruikers, programma’s en hardware
2. Detecteren van bedreigingen
3. Onderzoeken van mogelijke bedreigingen
4. Reageren op incidenten

Om deze vier taken uit te kunnen voeren, moet Azure Sentinel verbonden worden met verschillende Microsoft-bronnen, waaronder de cloudomgeving van Office 365, Azure Active Directory en Azure Advanced Threat Protection en andere essentiële cloud-oplossingen. Op die manier kan Azure Sentinel cloud-breed worden ingezet. Daarbij werkt Azure Sentinel het beste samen met de clouddiensten van Microsoft, omdat je de dienst gebruikt vanuit het Azure Portal. Maar buiten deze diensten kan Azure Sentinel ook met een reeks andere toepassingen van externe partijen samenwerken.

Azure Sentinel is daarmee een virusscanner on steroids. Het kan niet alleen mogelijke malware herkennen, maar het biedt een totaalbeeld van alle incidenten en mogelijke bedreigingen in de digitale omgeving van een organisatie. Azure Sentinel kan daardoor signaleren wanneer een gebruiker op een link klikt die naar een malafide website leidt, maar ook als er een DDoS-aanval plaatsvindt op serverniveau.

Naast het live monitoren van dit soort bedreigingen, kan er ook aan de hand van logs gezocht worden naar mogelijke afwijkingen. Azure Sentinel kan op basis van de data uit verschillende applicaties zelf signaleren wanneer er wordt afgeweken van een trend. Bijvoorbeeld als er opeens een hoog aantal inlogpogingen zijn bij een bepaalde dienst. In de data zal Azure Sentinel deze afwijking markeren, zodat beheerders kunnen kijken of de afwijking te verklaren is door een interne oorzaak of dat er inderdaad kwaadwillenden hebben geprobeerd om binnen te komen.

Om gebruik te maken van Azure Sentinel moet er een abonnement worden afgesloten. Voor de kosten hiervan wordt gekeken naar hoeveel data er wordt opgenomen in de analyse van Azure Sentinel. Er kan op twee manieren betaald worden voor de dienst.

De eerste optie is om te betalen per gebruik. Een organisatie betaalt dan een vast bedrag per opgenomen gigabyte. Dit is handig als het nog niet duidelijk is hoe groot het gegevensvolume is dat door Azure Sentinel verwerkt moet worden of als er van dag tot dag grote fluctuaties zitten in de gegevensvolumes.

De tweede optie is betalen via een vast tarief afhankelijk van de capaciteitsreservering. Als duidelijk is hoeveel een organisatie nodig heeft, kan er een bepaalde hoeveelheid gigabytes (GB) per dag worden gereserveerd. Dit is een stuk goedkoper, omdat er een vaste hoeveelheid capaciteit gereserveerd kan worden. Kortingen kunnen hierdoor oplopen tot 60% afhankelijk van de van de hoeveelheid data. Uiteraard kan er ook opgeschaald worden op het moment dat blijkt dat er niet genoeg capaciteit is, of dat er elke maand erg veel capaciteit onbenut blijft.

Bij het aanschaffen van een abonnement op Azure Sentinel is het goed om met een expert te kijken naar een security-oplossing op maat. Zodat je niet te veel betaalt voor capaciteit die je niet gebruikt. Of andersom: te weinig capaciteit reserveert en veel duurder uit bent.

Azure Sentinel kan worden verbonden met een breed scala aan services. Op die manier kun je zorgen dat alle processen binnen een organisatie worden gedekt en vierentwintig uur per dag worden bewaakt. Uiteraard is Azure Sentinel compatibel met Microsoft-clouddiensten, maar er kunnen ook veel applicaties van externe leveranciers worden gekoppeld.

Data kan worden binnengehaald van diensten als Office 365, Azure Active Directory (AAD), AAD Identity Protection, Azure Advanced Threat Protection, Cloud App Security en Azure Security Center, Azure Activity en Azure Information Protection en de Azure Web Application Firewall. Daarnaast worden ook andere platforms ondersteund. Zoals Amazon Web Services (AWS), Palo Alto Networks, Cisco ASA, Check Point, Fortinet, F5, Barracuda en Symantec ICDX.

Daarnaast zijn er nog tal van kleinere diensten die verbonden kunnen worden met Azure Sentinel. Wanneer je vragen hebt over specifieke diensten, neem dan contact op met je leverancier en informeer naar de specifieke wensen van jouw organisatie. Zolang je vanuit het Azure Portal kunt werken, is er in elk geval heel veel mogelijk.

Wanneer u Azure Sentinel gaat implementeren binnen organisatie is het van belang dat er bekwame beheerders het systeem kunnen instellen, monitoren en uitlezen. Daarom is het verstandig om iedereen die met Azure Sentinel werkt een training te laten volgen en een certificaat te laten halen. Dit kan door middel van een cursus. Via verschillende modules kan het systeem eigen worden gemaakt, van het instellen van een overzichtelijk dashboard tot aan het uitlezen van incidenten-logs.

Azure Sentinel is een zeer krachtige tool voor cloud security. Met behulp van een training zorg je dat je organisatie het maximale uit Azure Sentinel haalt en de tool optimaal kunt gebruiken.