Identifiera och reagera på säkerhetshot med hjälp av Azure Sentinel

  • 4 minuter

Ett dedikerat SIEM-system (säkerhetsinformation och händelsehantering) kan vara användbart vid hantering av säkerhet i stor skala. Ett SIEM-system sammanställer säkerhetsdata från många olika källor (så länge dessa källor stöder ett öppet standardloggningsformat). Det innehåller också funktioner för hotidentifiering och svar.

Azure Sentinel är Microsofts molnbaserade SIEM-system. Systemet använder intelligent säkerhetsanalys och hotanalys.

Funktioner i Azure Sentinel

Med Azure Sentinel kan du:

  • Samla in molndata i stor skala

    Samla in data för alla användare, enheter, program och infrastruktur, både lokalt och från flera moln.

  • Identifiera tidigare oidentifierade hot

    Minimera falska positiva identifieringar med Microsofts omfattande analys- och hotinformation.

  • Undersöka hot med artificiell intelligens

    Undersöka misstänkta aktiviteter i stor skala, med hjälp av åratals erfarenhet av cybersäkerhet hos Microsoft.

  • Svara på incidenter snabbt

    Använd inbyggd orkestrering och automatisering av vanliga uppgifter.

Anslut dina datakällor

Tailwind Traders bestämmer sig för att utforska funktionerna i Azure Sentinel. Företaget börjar med att identifiera och ansluta sina datakällor.

Azure Sentinel stöder ett flertal datakällor, som kan analyseras för säkerhetshändelser. De här anslutningarna hanteras av inbyggda anslutningsprogram eller branschens standardloggformat och API:er.

  • Ansluta Microsoft-lösningar

    Anslutningsprogrammen ger realtidsintegrering för tjänster som Microsoft Threat Protection-lösningar, Microsoft 365-källor (inklusive Office 365), Azure Active Directory och Windows Defender-brandväggen.

  • Ansluta andra tjänster och lösningar

    Det finns anslutningar för vanliga tjänster och lösningar som inte kommer från Microsoft, bland annat AWS CloudTrail, Citrix Analytics (Security), Sophos XG Firewall, VMware Carbon Black Cloud och Okta SSO.

  • Anslut branschens standarddatakällor

    Azure Sentinel stöder data från andra källor som använder meddelandestandarden CEF (Common Event Format), Syslog eller REST API.

Identifiera hot

Tailwind Traders behöver få ett meddelande om något misstänkt inträffar. De bestämmer sig för att använda både inbyggda analyser och anpassade regler för att identifiera hot.

Inbyggd analys använder mallar som har utformats av Microsofts team med säkerhetsexperter och analytiker baserat på kända hot, vanliga attackvektorer och eskaleringskedjor för misstänkt aktivitet. Dessa mallar kan anpassas och söka i hela miljön efter aktiviteter som verkar misstänkta. I vissa mallar används maskininlärning med beteendeanalys som baseras på Microsofts tillverkarspecifika algoritmer.

Anpassad analys är regler som du skapar för att söka efter vissa kriterier i din miljö. Du kan förhandsgranska antalet resultat som frågan skulle generera (baserat på tidigare logghändelser) och ange ett schema för frågan som ska köras. Du kan också ange ett tröskelvärde för aviseringar.

Undersöka och svara

När Azure Sentinel identifierar misstänkta händelser, kan Tailwind Traders undersöka vissa aviseringar eller incidenter (en grupp med relaterade aviseringar). Med undersökningsdiagrammet kan företaget granska information från entiteter som är direkt anslutna till aviseringen och se vanliga utforskningsfrågor som hjälp vid undersökningen.

Här är ett exempel som visar hur ett undersökningsdiagram ser ut i Azure Sentinel.

Ett exempel på ett undersökningsdiagram för incidenter i Azure Sentinel.

Företaget kommer också att använda Azure Monitor spelböcker för att automatisera svar på hot. De kan till exempel ange en avisering som söker efter skadliga IP-adresser som har åtkomst till nätverket och skapa en arbetsbok som utför följande steg:

  1. När aviseringen utlöses öppnas en biljett i IT-biljettsystemet.

  2. Skicka ett meddelande till säkerhetsåtgärdskanalen i Microsoft Teams eller Slack för att meddela säkerhetsanalytikerna om incidenten.

  3. Skicka all information i aviseringen till nätverksadministratören och säkerhetsadministratören. E-postmeddelandet har två alternativknappar för användare: Blockera eller Ignorera.

När en administratör väljer Blockera blockeras IP-adressen i brandväggen och användaren inaktiveras i Azure Active Directory. När en administratör väljer Ignorera stängs aviseringen i Azure Sentinel och incidenten stängs i IT-biljettsystemet.

Spelboken fortsätter att köras när den har fått ett svar från administratörerna.

Spelböcker kan köras manuellt eller automatiskt när en regel utlöser en avisering.