Rozpoznání bezpečnostních hrozeb a reakce na ně pomocí Azure Sentinelu

  • 4 min

Správa zabezpečení ve velkém měřítku může těžit z vyhrazeného systému pro správu akcí a informací o zabezpečení (SIEM). SIEM agreguje data zabezpečení z mnoha různých zdrojů (pokud tyto zdroje podporují formát protokolování s otevřeným standardem). Poskytuje také možnosti pro rozpoznání hrozeb a reagování na ně.

Azure Sentinel je cloudový systém SIEM Microsoftu. Používá inteligentní analytiku zabezpečení a analýzu hrozeb.

Možnosti Azure Sentinelu

Azure Sentinel vám umožní:

  • Shromažďování cloudových dat ve velkém

    Můžete shromažďovat data napříč všemi uživateli, zařízeními, aplikacemi a infrastrukturou, a to jak místně, tak i z více cloudů.

  • Rozpoznání dříve nerozpoznaných hrozeb

    Můžete minimalizovat falešně pozitivní výsledky pomocí komplexních analýz a analýzy hrozeb od Microsoftu.

  • Prozkoumání hrozeb pomocí umělé inteligence

    Můžete ve velkém zkoumat podezřelé aktivity s využitím mnohaletých zkušeností Microsoftu s kyberbezpečností.

  • Rychlé reagování na incidenty

    Používejte vestavěnou orchestraci a automatizaci běžných úloh.

Připojení zdrojů dat

Firma Tailwind Traders se rozhodla prozkoumat možnosti Azure Sentinelu. Nejprve společnost identifikuje a spojí své zdroje dat.

Azure Sentinel podporuje řadu zdrojů dat, které může analyzovat z hlediska událostí zabezpečení. Tato připojení jsou zpracovávána integrovanými konektory nebo standardními formáty protokolů a rozhraní API.

  • Připojení řešení od Microsoftu

    Konektory poskytují integraci v reálném čase pro služby, jako jsou řešení Microsoft Threat Protection, zdroje Microsoft 365 (včetně Office 365), Azure Active Directory a firewallu Windows Defenderu.

  • Připojení jiných služeb a řešení

    Konektory jsou k dispozici pro běžné služby a řešení od jiných výrobců, jako jsou AWS CloudTrail, Citrix Analytics (Security), Sophos XG Firewall, VMware Carbon Black Cloud a Okta SSO.

  • Připojení standardních zdrojů dat

    Azure Sentinel podporuje data z jiných zdrojů, které používají standard zasílání zpráv CEF (Common Event Format), Syslog nebo REST API.

Detekce hrozeb

Firma Tailwind Traders potřebuje být informována, pokud dojde k něčemu podezřelému. Rozhodne se k rozpoznávání hrozeb používat integrovanou analytiku i vlastní pravidla.

Integrovaná analytika využívá šablony navržené bezpečnostními specialisty a analytiky Microsoftu na základě známých hrozeb, častých vektorů útoku a eskalačních řetězců pro podezřelé aktivity. Tyto šablony se dají přizpůsobit a hledají v celém prostředí všechny aktivity, které vypadají podezřele. Některé šablony používají analýzy chování s využitím strojového učení založené na vlastních algoritmech Microsoftu.

Vlastní analýzy jsou pravidla, která vytvoříte pro hledání konkrétních kritérií v rámci vašeho prostředí. Můžete zobrazit náhled počtu výsledků, které by dotaz vygeneroval (na základě minulých událostí protokolu), a nastavit plán spouštění dotazu. Můžete také nastavit prahovou hodnotu pro výstrahy.

Prozkoumání a reakce

Když Azure Sentinel rozpozná podezřelé události, může firma Tailwind Traders prozkoumat konkrétní výstrahy nebo incidenty (skupiny souvisejících výstrah). Pomocí grafu pro šetření může společnost zkontrolovat informace z entit přímo připojených k výstraze a prohlédnout si nejčastější dotazy průzkumu, které vám pomohou s prošetřením.

Tady je příklad, který ukazuje, jak má graf šetření vypadat v Azure Sentinel.

Příklad grafu prověřování incidentů ve službě Azure Sentinel

Společnost také použije Azure monitor playbooky k automatizaci reakcí na hrozby. Může třeba nastavit výstrahu vyhledávající škodlivé IP adresy, které přistupují k síti, a vytvořit sešit, který provede tyto kroky:

  1. Když se aktivuje výstraha, otevře lístek v IT systému pro lístky.

  2. Odešle zprávu do kanálu operací zabezpečení v Microsoft Teams nebo Slacku, aby se analytici zabezpečení o incidentu dozvěděli.

  3. Odešlete všechny informace v upozornění na správce hlavní sítě a správce zabezpečení. E-mailová zpráva má dva přepínače uživatele: blokovat nebo Ignorovat.

Když správce zvolí blok, IP adresa se zablokuje v bráně firewall a uživatel je v Azure Active Directory zakázaný. Když správce zvolí možnost Ignorovat, výstraha se uzavře v rámci Azure Sentinel a incident je uzavřený v systému lístků IT.

PlayBook se i nadále spouští poté, co obdrží odpověď od správců.

Playbooky je možné spustit ručně nebo automaticky, když pravidlo aktivuje výstrahu.