Azure Sentinel – návod k nasazení

25. 6. 2020 Azure, IT Pro

Služba Azure Sentinel je inteligentní analýza bezpečnostních protokolů pro podniky. Díky jejím výkonným nástrojům pro hledání a dotazování najdete bezpečnostní hrozby napříč daty organizace. V tomto článku si ukážeme, jak službu nasadit a jak odhalit hrozby dřív, než způsobí škodu.

Pokud ještě nevíte, co je Azure Sentinel a k čemu by vám mohl být užitečný, určitě si nejprve přečtěte náš článek:

Návod

Poté, co se přihlásíte k portálu Azure, zadejte do vyhledávací lišty Azure Sentinel.

Na obrázku lze vidět základní pracovní prostor služby Sentinel. Můžeme zde přidat nové pracovní místo Sentinel, vidět ty, co už máme vytvořené, a nebo připojit nový pracovní prostor.
Pracovní prostory produktu Azure Sentinel | zdroj: Azure Sentinel

Volba pracovního prostoru

Nyní je nutné zvolit pracovní prostor, do kterého se přidá Azure Sentinel, nebo, pokud ještě nemáte žádný prostor vytvořený, klikněte na tlačítko Vytvořit nový pracovní prostor. V případě, že již máte nějaké pracovní prostory vytvořené, ale požadujete nové prostředí, zvolte tlačítko Přidat a poté Vytvořit nový pracovní prostor.

Na obrázku lze vidět zvolení pracovního prostoru, či vytvoření nového pracovního prostoru
Zvolení pracovního prostoru | zdroj: Azure Sentinel

Vytvoření pracovního prostoru

Pro vytvoření pracovního prostoru Log Analytics je nutné vybrat předplatné a zvolit či vytvořit skupinu prostředků (kolekce prostředku, které sdílejí stejné oprávnění a zásady). Dále je nutné zadat název pracovního prostoru a oblast, která je pro vás výhodná. Po vyplnění všech polí zvolte Zkontrolovat a vytvořit.

Zde se vytváří pracovní prostor Log Analytics. Musíme vybrat naše předplatné, skupinu prostředků a nastavit podrobnosti o instancích.
Vytvořit pracovní prostor Log Analytics | zdroj: Azure Sentinel

Po ověření dat klikněte na tlačítko Vytvořit.

Zde můžeme vidět shrnutí informací našeho pracovního prostoru. Níže pak máme tlačítko Vytvořit nebo Předchozí.
Shrnutí informací | zdroj: Azure Sentinel

Nyní vyberte pracovní prostor, který chcete použít.

Zde můžeme vidět záložku zvolení pracovního prostoru, kde můžeme vybrat, který pracovní prostor chceme používat.
Zvolení pracovního prostoru | zdroj: Azure Sentinel

Nyní jste se úspěšně dostali do Azure Sentinel a můžete využívat jeho služeb.

Na obrázku můžeme vidět základní prostředí Azure Sentinel. V levém panelu vidíme položky jako Přehled, protokoly nebo např. Novinky z příručky
Azure Sentinel Novinky | zdroj: Azure Sentinel

Azure Active Directory

Aby bylo možné využívat služby Azure Sentinel, musíte ho nejdříve připojit ke zdrojům dat. V našem případě se budeme připojovat na AAD (později přidáme i další konektory) – proto vybereme Datové konektory a klikneme na Azure Active Directory.

Po kliknutí se nám zobrazí popis konektoru, jaký je pro něj dostupný počet sešitů, dotazů, či s jakými typy dat pracuje.

Na obrázku můžeme vidět záložku Datové konektory, zde vypsané jednotlivé datové konektory a jejich pravidla
Datové konektory – Azure Active Directory | zdroj: Azure Sentinel

Po kliknutí na Otevřít stránku konektoru se nám otevře stránka konektoru. Zde můžeme vidět podrobnější popis konektoru, součásti, které bude potřebovat, či v sekci Konfigurace můžeme připojit naše data.

Po připojení může chvíli trvat, než dojde k synchronizaci. Po ní se zobrazí v grafu souhrn dat a stav připojení datových typů.

Zde můžeme vidět detailní popis konektoru, který jsme vybrali v předchozím kroku (AAD). Vidíme zde jeho informace, požadované součástí nebo záložku Konfigurace, kde připojíme svoje data.
Popis konektoru | zdroj: Azure Active Directory

V sekci Další postup se vám objeví doporučené sešity a ukázky dotazů. Zde si můžete vybrat z doporučených sešitů. Každý obstarává něco jiného – proto má taky každý konektor sešity jiné.

Na obrázku je pořád detail konektoru AAD, nyní je rozkliknuta záložka Další postup. Zde se nachází Doporučené sešity a Ukázky dotazů.
Doporučené sešity | zdroj: Azure Active Directory

Nyní jsme si jeden sešit vybrali a můžeme vidět jeho specifikace či zobrazit jeho šablonu.

Na obrázku lze vidět záložku Pracovní sešity a rozkliknutý sešit Azure AD Sign-in logs - a jeho detailní popis.
Detail pracovního sešitu | zdroj: Azure Active Directory

Office 365

Nyní si ukážeme propojení dat z Office 365. V levé lište vybereme v sekci konfigurace Datové konektory. Následně nalezneme v seznamu Office 365 a klikneme na Otevřít stránku konektoru.

Na tomto obrázku můžeme vidět seznam konektorů a rozkliknutý konektor Office365, kde se nachází i jeho krátký popis, stav a poskytovatel.
Konektor Office 365 | zdroj: Azure Sentinel

Dostali jsme se na stránku konektoru. Opět zde vidíme specifikace a opět zde připojíme naše data (v části Konfigurace).  

Na obrázku můžeme vidět detail konektoru Office 365. Lze tu také vidět Požadované součástí a Konfigurace - zde se připojují tenanty.
Detail konektoru Office 365 | zdroj: Azure Sentinel

Kliknutím na Další postup se dostaneme na stránku, kde nalezneme doporučené sešity a ukázky dotazů.

Zde můžeme vidět rozkliknout záložku Další postup u konektoru Office365. Zde se ukazují 3 doporučené sešity a 2 ukázky dotazů.
Office 365 – Další postup | zdroj: Azure Sentinel

Azure Analýza – automatická pravidla

Do Azure analýzy se dostaneme z levé lišty, kliknutím na Analýza. Nás budou zajímat Šablony pravidel – zde můžeme nalézt předvytvořené šablony, které nás upozorní, když se děje něco zvláštního s našimi daty.

Řekněme tedy, že jsme přes konektory připojili naše data z Office 365. Nyní v Šablonách pravidel můžeme nalézt pravidla, která naše data budou zpracovávat.

Na obrázku je rozkliknutá položka Analýza. Zde je vidět seznam pravidel a je rozkliknuto pravidlo s vysokou závažností.
Analýza | zdroj: Azure Sentinel

Např. zde jsme si našli pravidlo Office policy tampering. Kliknutím na něj se nám ukáže několik věcí – jeho popis, závažnost, či s jakými zdroji dat pracuje.

V našem příkladu Sentinel hlídá, jestli někdo nepovolený nepředělává oprávnění.

Na obrázku lze vidět rozkliknutou položku Analýza a zde jednotlivá pravidla, konkrétně je rozkliknuto pravidlo Office policy tampering
Detail pravidla Office policy tampering | zdroj: Azure Sentinel

Po kliknutí na Vytvořit pravidlo se dostaneme na stránku, kde můžeme měnit nastavení tohoto pravidla (např. Název či Závažnost).

Na obrázku vidíme první stránku Průvodcem analytických pravidel. Zde je obecné nastavení pravidla, které chceme vytvořit.
Vytvoření nového pravidla | zdroj: Azure Sentinel

Po konfiguraci našeho pravidla dle našich potřeb se dostaneme na poslední stránku, která nám naše pravidlo rekapituluje. Kliknutím na Vytvořit se pravidlo, jak jistě tušíte, vytvoří.

Na obrázku lze vidět poslední stránku procesu - přehled podrobností a nastavení našeho pravidla.
Zkontrolování a vytvoření pravidla | zdroj: Azure Sentinel

Incidenty

Poté, co se poruší některé z pravidel, která jsme nastavili výše v kroku Azure Analýza, vytvoří se Incident. V záložce incidentů nalezneme podrobnosti o jednotlivých incidentech.
Můžeme si všimnout, že náš incident se vytvořil z pravidla Brute force attack against Azure Portal. Záložka incidentů vypadá následovně:

Na obrázku můžeme vidět rozkliknout záložku Incidenty a v ní položku Brute force attack against Azure Portal s jeím popisem
Incident a jeho popis | zdroj: Azure Sentinel
Na obrázku můžeme vidět rozkliknout záložku Incidenty a v ní položku Brute force attack against Azure Portal s jeím popisem
Incident a jeho popis – další část | zdroj: Azure Sentinel

Kliknutím na tlačítko Prozkoumat se dostaneme na detail incidentu. Zde vidíme několik věcí – hlavně však mapu útoku. Na té můžeme pozorovat daný incident a různé vazby na něj.

Také si zde všimneme dalších informací o incidentu, jako je např. Časová osa nebo Entity.

Na obrázku můžeme vidět rozkliknutý incident a všechny informace o něm - jeho závažnost, stav, nebo třeba útokovou mapu.
Prověřování – detail incidentu | zdroj: Azure Sentinel

Když si vpravo rozklikneme lištu, zobrazí se nám další informace. V našem případě jsme rozklikli Entity, abychom viděli, kdo se na porušení podílel, můžeme ale také rozkliknout např. časovou osu, kde se nám detailně ukáže, v jakém časovém rozmezí se porušení stalo.

Na obrázku můžeme vidět rozkliknutý incident a všechny informace o něm - zde rozkliknuta Entita a lze vidět její podrobnosti
Prověřování – detail Entity | zdroj: Azure Sentinel

Toto je konec našeho návodu, doufáme, že vás zaujal a pomohl vám udělat vaši organizaci bezpečnější.

Chcete vědět více?

Informace o tom, jak Azure Sentinel používat, můžete získat v tomto kurzu nebo na následujících odkazech:

Nastavení souborů Cookies

1. Co jsou soubory cookies

Soubory cookies jsou krátké textové soubory, které internetová stránka odešle do vašeho prohlížeče. Umožňují internetové stránce zaznamenat informace o vaší návštěvě, například zvolený jazyk a podobně. Následující návštěva stránek tak pro vás může být snazší a příjemnější. Soubory cookies jsou důležité, neboť bez nich by procházení sítě Internet bylo mnohem složitější. Soubory cookies umožňují lepší využití naší internetové stránky a přizpůsobení jejího obsahu vašim potřebám. Soubory cookies používá téměř každá internetová stránka na světě.

2. Druhy souborů cookies

Relační (tedy dočasné) soubory cookies nám umožňují propojovat vaše jednotlivé aktivity po dobu prohlížení těchto internetových stránek. V okamžiku otevření okna vašeho prohlížeče se tyto soubory vytvoří a po zavření okna vašeho prohlížeče se odstraní.

Trvalé soubory cookies nám pomáhají váš počítač identifikovat, jestliže opětovně navštívíte naši internetovou stránku.

3. Využívání souborů cookies

V souladu s ustanovením § 89 odst. 3 zák. č. 127/2005 Sb., o elektronických komunikacích, v účinném znění, si vás tímto dovolujeme informovat, že naše internetové stránky využívají pro svoji činnost soubory cookies, tedy vaše soubory cookies, včetně trvalých, zpracováváme.

Internetové prohlížeče obvykle obsahují správu souborů cookies. V rámci nastavení vašeho prohlížeče tak pravděpodobně můžete jednotlivé soubory cookies ručně mazat, blokovat či zcela zakázat jejich používání. Pro více informací použijte nápovědu vašeho internetového prohlížeče. Jsou-li cookies povoleny, lze toto nastavení internetového prohlížeče považovat za souhlas se zpracováním osobních údajů.

4. Účel použití souborů cookies

K personalizaci obsahu a reklam, poskytování funkcí sociálních médií a analýze naší návštěvnosti využíváme soubory cookies. Informace o tom, jak náš web používáte, sdílíme se svými partnery působícími v oblasti sociálních médií, inzerce a analýz. Používáním internetových stránek vyjadřujete souhlas propojením následujících služeb: Google Analytics, Google Tag Manager, Facebook Pixel, Microsoft Clarity.

Soubory cookies využíváme, kromě účelu uvedeného v předchozím odstavci, pouze pro měření návštěvnosti webové stránky.

5. Správce osobních údajů

Provozovatelem webové stránky studuj.digital a správcem osobních údajů je společnost: pg-sec s.r.o., sídlem Rybná 716/24, Staré Město, 110 00 Praha 1, identifikační číslo 09580905, zapsaná v obchodním rejstříku Městského soudu v Praze, oddíl C, vložka 338028.

​6. Zásady ochrany osobních údajů

Podrobnější informace o souborech cookies a zpracování tvých osobních údajů najdete v našich Zásadách ochrany osobních údajů.

Nezbytné

Tyto soubory cookie jsou nutné pro základní funkce stránky, a jsou proto vždy povolené. Mezi ně patří soubory cookie, které stránce umožňují si vás zapamatovat při procházení stránky v rámci jedné relace nebo, pokud o ně požádáte, mezi relacemi.

Volitelné

Výkon

Tyto soubory cookie nám pomáhají vylepšovat funkce stránek sledováním využití této webové stránky. V některých případech zrychlují zpracování vašeho požadavku a umožňují nám zapamatovat si vaše vybrané předvolby na stránce. Pokud soubory cookie zakážete, může se tím zhoršit přesnost našich doporučení a zpomalit funkčnost stránek.

Sociální média a relamy

Díky souborům cookies sociálních médií si můžete připojit ke svým sociálním sítím a prostřednictvím sociálních médií sdílet obsah z naší webové stránky. Reklamní soubory cookie (třetích stran) shromažďují informace pro lepší přizpůsobení reklamy tvým zájmům, a to na webových stránkách studuj.digital i mimo ně. V některých případech tyto soubory cookies zpracovávají vaše osobní údaje. Pokud chcete získat více informací o zpracování osobních údajů, přečtěte si naše Zásady ochrany osobních údajů. Pokud zakážete soubory cookies, mohou se zobrazovat reklamy, které méně souvisejí s vašimi zájmy, nebo nebudete moci účinně používat odkazy na Facebook, Instagram či jiné sociální sítě anebo nebudete moci sdílet obsah na sociálnch médiích.