Azure Sentinel

 In Azure, Security, Top Stories

Was ist Azure Sentinel?

Azure Sentinel ist eine SIEM- (Security Information Event Management) und SOAR- (Security Orchestration Automated Response) Lösung von Microsoft. Sie ermöglicht es, Sicherheitsnachrichten wie Logs und Alerts produktübergreifend zu sammeln, zu analysieren und bei Bedarf automatisierte Aktionen auszulösen. Mit Azure Sentinel möchte Microsoft Sicherheitsadministratoren von Routineaufgaben entlasten. Dadurch sollen sie mehr Zeit erhalten, um echte Angriffe abzuwehren.

Azure Sentinel Überblick - Copyright Microsoft

Unternehmensweite Aggregation von Sicherheitsdaten

Um ein umfassendes und aktuelles Bild der Bedrohungslage zu erhalten, ermöglicht es Azure Sentinel Sicherheitsinformationen aus dem gesamten Unternehmen in einer Anwendung in der Cloud zu bündeln. Sentinel sammelt Informationen von Nutzern, Geräten, Anwendungen, Apps, Servern Infrastrukturkomponenten sowohl in der Cloud als auch On-Premises. Dazu greift Sentinel auf mehr als 200 Konnektoren und native Microsoft-Signale zu. Des Weiteren unterstützt die Sicherheitslösung Industriestandards wie Syslog und REST-API.

Sogar die Daten von Produkten anderer Hersteller wie Palo Alto Networks, F5, Symantec, Fortinet und Check Point kann Azure Sentinel auslesen und bewerten. Basis hierfür ist die Microsoft Intelligent Security Association – ein Zusammenschluss von mehr als 50 Unternehmen. Diese Fülle an Informationen ermöglicht Sentinel, bisher unerkannte Bedrohungen und „False-Positives“ schneller zu erkennen.

Microsoft hat Azure Sentinel mit vorkonfigurierten Dashboards ausgestattet, die Erkenntnisse über die verschiedenen Datenquellen liefern. Alle Dashboards können Administratoren jederzeit gemäß ihren Anforderungen anpassen. Sie können z. B. eigene Logiken einfügen oder Abfragen anpassen. Natürlich können sie auch von Grund auf eigene Dashboards erstellen.

Azure Sentinel Daten sammeln - Copyright Microsoft

Automatisches Reagieren auf Bedrohungen

Als native Cloudlösung ermöglicht Azure Sentinel ein einfaches Skalieren für schnelle Auswertungen. Durch maschinelles Lernen soll Azure Sentinel Bedrohungen immer besser erkennen können. So fasst Azure Sentinel beispielsweise ähnliche Alerts, die eine Bedrohung sein könnten, als sogenannte Cases zusammen. Diese Cases kann ein Administrator dann beurteilen und lösen. Auf Basis von Korrelationen kann er im Nachgang eigene Regeln erstellen, um die Bearbeitung wiederkehrender Cases zu automatisieren.

Cases in Azure Sentinel - Copyright Microsoft

Azure Sentinel setzt darüber hinaus auf maschinelles Lernen, um das Netzwerkverhalten abzubilden und im Anschluss Anomalien zu erkennen. Diese Ergebnisse setzt Sentinel in Beziehung zueinander, um kritische Bedrohungen zu erkennen. Eliav Levi, Director of Product Management von Microsoft Azure Sentinel berichtet in seinem Blogpost zum Launch von Azure Sentinel von einer Reduktion von bis zu 90 % in der Alert Fatigue während der Testphase.

Neben zahlreichen Dashboards zur Analyse hat Microsoft Azure Sentinel mit vorgefertigten Vorlagen und Playbooks ausgestattet, die es ermöglichen, schnell und automatisiert auf Vorfälle zu reagieren. Diese können Administratoren ebenfalls individuell anpassen oder eigene erstellen z. B. mit Logic Apps.

Um Bedrohungen zu analysieren, bietet Azure Sentinel darüber hinaus grafische Dashboards. Administratoren können direkt aus dem Dashboard heraus auf eine Bedrohung reagieren.

Attacken visualisieren mit Azure Sentinel - Copyright Microsoft

In der Azure Sentinel Community auf GitHub können sich Sicherheitsverantwortliche zudem Vorlagen herunterladen, um individuelle Dashboards, Hunting Queries, Notizbücher und Playbooks zu erstellen: https://github.com/Azure/Azure-Sentinel.

Verfügbarkeit

Aktuell ist Azure Sentinel in einer Vorschauversion verfügbar. Die Azure-Abrechnung soll laut Eliav Levi verbrauchsbasiert erfolgen. Zudem hat er angekündigt, dass alle Office 365 Daten kostenlos zu Azure Sentinel gebracht werden können.

infoWAN wird Azure Sentinel für Sie weiter beobachten. Bei Interesse unterstützen wir Sie in Zukunft gerne bei der Implementierung der Lösung.

Recent Posts
Kontaktformular

Wir werden Sie so schnell wie möglich kontaktieren.

Start typing and press Enter to search