Beveiligingsrisico's detecteren en erop reageren met behulp van Azure Sentinel

  • 4 minuten

Het beveiligingsbeheer op grote schaal kan baat hebben bij een toegewezen SIEM-systeem (Security Information and Event Management). Met een SIEM-systeem worden beveiligingsgegevens van een groot aantal verschillende bronnen verzameld (zolang deze bronnen logboekregistratie in een open standaardindeling ondersteunen). Het biedt ook functionaliteit voor de detectie van bedreigingen en de reactie daarop.

Azure Sentinel is het cloud-SIEM-systeem van Microsoft. Hierbij wordt gebruikgemaakt van intelligente beveiligings- en bedreigingsanalyses.

Mogelijkheden van Azure Sentinel

Met Azure Sentinel kunt u het volgende doen:

  • Cloudgegevens op schaal verzamelen

    Gegevens verzamelen van alle gebruikers, apparaten, toepassingen en infrastructuur, zowel on-premises als vanuit meerdere clouds.

  • Eerder niet-gedetecteerde beveiligingrisico's detecteren

    Het aantal fout-positieven minimaliseren door gebruik te maken van de uitgebreide analyse- en bedreigingsinformatie van Microsoft.

  • Bedreigingen nader onderzoeken met kunstmatige intelligentie

    Verdachte activiteiten op schaal onderzoeken, waarbij u kunt profiteren van de jarenlange ervaring van Microsoft op het gebied van cyberbeveiliging.

  • Snel reageren op incidenten

    Gebruik ingebouwde orchestration en automatisering van algemene taken.

Verbind uw gegevensbronnen

Tailwind Traders besluit de mogelijkheden van Azure Sentinel te verkennen. Eerst identificeert en verbindt het bedrijf zijn gegevensbronnen.

Azure Sentinel ondersteunt een aantal gegevensbronnen, die kunnen worden geanalyseerd op beveiligingsgebeurtenissen. Deze verbindingen worden afgehandeld door ingebouwde connectors of industriestandaard logboekindelingen en API's.

  • Microsoft-oplossingen verbinden

    Connectors bieden realtime-integratie voor services zoals Microsoft Threat Protection-oplossingen, Microsoft 365-bronnen (waaronder Office 365), Azure Active Directory en Windows Defender Firewall.

  • Andere services en oplossingen verbinden

    Connectors zijn beschikbaar voor algemene niet-Microsoft-services en -oplossingen, waaronder AWS CloudTrail, Citrix Analytics (beveiliging), Sophos XG Firewall, VMware Carbon Black Cloud en Okta SSO.

  • Industriestandaard gegevensbronnen verbinden

    Azure Sentinel ondersteunt gegevens van andere bronnen die gebruikmaken van de CEF-berichtstandaard (Common Event Format, algemene gebeurtenisindeling), Syslog of REST API.

Bedreigingen detecteren

Tailwind Traders moet op de hoogte worden gesteld wanneer er iets verdachts gebeurt. Het bedrijf besluit ingebouwde analyses en aangepaste regels te gebruiken om bedreigingen te detecteren.

Ingebouwde analyses maken gebruik van sjablonen die zijn ontworpen door het team van beveiligingsexperts en analisten van Microsoft op basis van bekende bedreigingen, veelvoorkomende aanvalsvectoren en escalatieketens voor verdachte activiteiten. Deze sjablonen kunnen worden aangepast en gebruikt om verdachte activiteiten te zoeken in de hele omgeving. Bepaalde sjablonen maken gebruik van machine learning-gedragsanalyses die zijn gebaseerd op bedrijfseigen algoritmen van Microsoft.

Aangepaste analyses zijn regels die u maakt om te zoeken naar specifieke criteria in uw omgeving. U kunt een voorbeeld bekijken van het aantal resultaten dat door de query wordt gegenereerd (op basis van eerdere logboekgebeurtenissen) en een planning instellen voor de query die moet worden uitgevoerd. U kunt ook een waarschuwingsdrempel instellen.

Onderzoeken en reageren

Als Azure Sentinel verdachte gebeurtenissen detecteert, kan Tailwind Traders specifieke waarschuwingen of incidenten (een groep verwante waarschuwingen) onderzoeken. Met de onderzoeksgrafiek kan het bedrijf informatie bekijken van entiteiten die rechtstreeks zijn verbonden met de waarschuwing en algemene onderzoeksquery's bekijken om het onderzoek te begeleiden.

Hier ziet u een voorbeeld van hoe een onderzoeksgrafiek eruitziet in Azure Sentinel.

Een voorbeeldgrafiek in Azure Sentinel van een onderzoek naar een incident.

Het bedrijf gebruikt ook Azure Monitor Playbooks om reacties op bedreigingen te automatiseren. Het kan bijvoorbeeld een waarschuwing instellen die zoekt naar schadelijke IP-adressen die toegang hebben tot het netwerk en een werkmap maken waarmee de volgende stappen worden uitgevoerd:

  1. Een ticket in het IT-ticketsysteem openen wanneer de waarschuwing wordt geactiveerd.

  2. Een bericht verzenden naar het beveiligingskanaal in Microsoft Teams of Slack om de beveiligingsanalisten te bewust te maken van het incident.

  3. Verzend alle informatie in de waarschuwing naar de senior netwerkbeheerder en naar de beveiligingsbeheerder. Het e-mailbericht heeft twee knoppen voor gebruikersoptie: Blokkeren of Negeren.

Wanneer een beheerder Blokkeren kiest, wordt het IP-adres geblokkeerd in de firewall en wordt de gebruiker uitgeschakeld in Azure Active Directory. Wanneer een beheerder Negeren kiest, wordt de waarschuwing gesloten in Azure Sentinel en wordt het incident gesloten in het IT-ticketsysteem.

Het playbook blijft worden uitgevoerd nadat het een antwoord van de beheerders heeft ontvangen.

Playbooks kunnen handmatig of automatisch worden uitgevoerd wanneer een regel een waarschuwing activeert.