Het kan beginnen bij één apparaat, overslaan naar een bedrijfsnetwerk en zich vervolgens verspreiden naar een clouddienst of een database. Ongewenste toegang tot systemen kan voor grote problemen zorgen. Er zijn inmiddels talloze voorbeelden in het nieuws geweest. Daarom is er Microsoft Sentinel. Organisaties bouwen hiermee een SIEM/SOAR* systeem om inzicht te verkrijgen in de beveiliging van de hele IT-omgeving en daarbuiten. Je kan er bovendien proactief mee reageren op mogelijke bedreigingen.
Wat is Microsoft Sentinel?
Sentinel is de oplossing van Microsoft voor een schaalbare, cloud-native security oplossing op Azure die voorziet in:
- Security information and event management (SIEM)
- Security orchestration, automation, and response (SOAR)
Wat is SIEM en wat is SOAR?
SIEM signaleert activiteit (events) in het bedrijfsnetwerk en het maakt onderscheid tussen normale en afwijkende incidenten. Door training met behulp van AI kan het systeem constant leren en verbeteren. De uitdaging bij SIEM zit hem in de constante toestroom van gegevens en de daarbij behorende belasting voor analisten. Daarvoor is er SOAR. Dit onderdeel integreert alle tools, systemen en applicaties binnen de securityoplossing waardoor er één overzicht ontstaat over de gehele organisatie. Acties op incidenten kunnen worden geautomatiseerd in workflows. Tijdrovende handmatige werkzaamheden worden hiermee zonder extra menselijke tussenkomst behandeld of opgelost.
Microsoft Sentinel is een totaaloplossing voor informatiebeveiliging
De totale oplossing levert intelligente analyses en informatie over bedreigingen. Je krijgt één handig overzicht voor het signaleren van bedreigingen. Daarnaast zorgt Microsoft Sentinel voor proactieve actie en reactie op bedreigingen door gebruik te maken van AI-technologie. Microsoft voorziet hiermee in een oplossing voor de vier belangrijkste aspecten van informatiebeveiliging;
- Het vroegtijdig opsporen en signaleren van bedreigingen
- Direct handelen bij geavanceerde aanvallen
- Sneller een oplossing bieden (Time to Repair)
- Preventief verminderen van het aantal beveiligingsincidenten
Hoe werkt Microsoft Sentinel?
Het begint bij data verzamelen door connecties te maken
Om gebruik te maken van Microsoft Sentinel dien je eerst verbinding te maken met al je databronnen. Microsoft Sentinel heeft hiervoor diverse connectoren beschikbaar voor zowel Office 365 toepassingen als Azure bronnen. Denk bijvoorbeeld aan Microsoft 365 Defender, Microsoft Defender for Cloud, Office 365, Microsoft Defender for IoT, Azure Active Directory, Azure Activity, Azure Kubernetes, etc. Uiteraard zijn er ook standaardoplossingen voor niet-Microsoft producten. Of je maakt gebuik van een generieke Syslog of REST-API connectie om gegevensbronnen te verbinden met Microsoft Sentinel.
De volgende stap is interactieve rapportage
Als de data beschikbaar is kan je de data gaan monitoren door gebruik te maken van Workbooks. Dit zijn standaard ingebouwde templates om direct inzicht te krijgen in je data. Daarnaast zijn er ook mogelijkheden om zelf workbooks te maken naar eigen inzicht. De workbooks zijn bedoeld om de data te visualiseren en analisten op hoog niveau inzicht te geven in de status van de omgeving.
Automatiseren doe je met behulp van Microsoft Sentinel playbooks
Als je de constante toestroom van informatie in de hand wil houden dan maak je gebruik van Microsoft Sentinel playbooks. Hiermee automatiseer je veelvoorkomende en eenvoudige taken en integreer je die met Azure-services. Het systeem kan dan op basis van een set regels automatisch in actie komen om bijvoorbeeld een Azure AD of een IP af te sluiten.
Doe onderzoek en vind een lek voor het een bedreiging is
Microsoft Sentinel maakt diepgaand onderzoek mogelijk om de oorzaak en omvang van een bedreiging inzichtelijk te maken. Met behulp van een interactieve visuele map of door het stellen van specifieke vragen kun je inzoomen op de entiteit en zijn connecties. Hiermee kun je de bron van de bedreiging direct detecteren. Nog beter is het om met de krachtige zoekfunctionaliteit van Microsoft Sentinel een bedreiging op te sporen voordat er een waarschuwing is. Hiermee kun je pro-actieve reageren op mogelijke incidenten. Ook hier is automatisering met behulp van ingebouwde queries mogelijk.
Customize en bereik het maximale met Microsoft Sentinel notebooks
Wanneer de standaard functionaliteit niet genoeg is, dan is er de mogelijkheid om zelf met behulp van Jupyter notebooks, machine learning en advanced visualisaties toe te passen. Denk bijvoorbeeld aan Phyton Machine learning of custom processen en tijdslijnen of het toevoegen van on-premises data.
Wat is het verschil tussen Azure Security Center en Azure Sentinel?
Je vraagt je wellicht af wat het verschil is tussen Azure Sentinel en andere oplossingen van Microsoft zoals Azure Security Center. Beide producten lijken hetzelfde te doen maar zijn toch wezenlijk anders. Het komt erop neer dat Microsoft Sentinel completer is omdat het niet alleen signaleert maar ook helpt bij het oplossen van incidenten. Azure security Center verzameld de data en procedures, Sentinel kan daarnaast door automatisering en machine learning ook echt acteren.
Azure Security Center is een bron van aanbevelingen, waarschuwingen en diagnoses. Het gaat hierbij dus vooral om signalering. Het eerste stadium van informatiebeveiliging.
Azure Sentinel vervult naast het signaleren ook aanvullende taken, waaronder opsporing, geautomatiseerde oplossingen en incidentrespons en het assisteert bij handmatig incidentonderzoek.
Quote tijdens de laatste Innvolve roundtable:
“Als ze het echt willen, dan komen ze overal binnen. Wij willen er zeker van zijn dat er alles aan is gedaan om dat bij ons te voorkomen.”
Waarom heb je Microsoft Sentinel nodig?
Medewerkers werken tegenwoordig vaker buiten het bedrijfsnetwerk en gebruiken daarbij veel verschillende apparaten op netwerken met een onbekend beveiligingsniveau, dit kan leiden tot beveiligingsincidenten die vaak niet eens worden opgemerkt. Tegelijkertijd zijn cyberaanvallen steeds geavanceerder en bestrijken ze verschillende delen en bronnen van de organisatie.
De ontwikkelingen in cybersecurity gaan momenteel zo snel dat het haast onmogelijk is geworden om je omgeving te beveiligen zonder de hulp van moderne technologie van de grote vendoren. Het is simpelweg te kostbaar en te complex. Met Microsoft Sentinel krijg je één overzicht, kan je simpele taken automatiseren en proactief aan de slag gaan met bedreigingen.
Wil je meer weten over Microsoft Sentinel op Azure? Neem dan contact op met Roel Rens en we praten je helemaal bij over deze nieuwe technologie.
19/04/2024
Meer innformatie?
Wil je meer weten over Microsoft Sentinel? Wat is het, hoe werkt het en waarom heb je het nodig?, neem dan contact met ons op.
