Azure Sentinel – na stráži po vašem boku

25. 6. 2020 Azure, IT Pro

Služba Azure Sentinel je inteligentní analýza bezpečnostních protokolů pro podniky. Díky jejím výkonným nástrojům pro hledání a dotazování najdete bezpečnostní hrozby napříč daty organizace. V tomto článku si rozebereme, jak tato služba v reálném čase funguje.

Jak služba funguje

Azure Sentinel vám umožní analyzovat záznamy a protokoly, prozkoumat je pomocí umělé inteligence. Tím vám dovolí na ně rychle reagovat. To vše je možné díky datům, které Azure Sentinel ukládá do služby Log Analytics Azure Monitor.

Uvedeme si příklad: Organizace sbírá data o tom, kde a jak se uživatele přihlašují. Z těchto dat chce následně určit, zda se někdo neautorizovaný nepokouší přihlásit do systému organizace. Služba Azure Sentinel uloží daná data do služby Log Analytics Azure Monitor. Přes konektory si organizace propojí Azure Sentinel s Azure Active Directory a v Doporučených sešitech si zvolí Azure Active Directory Sign-in logs. Tento sešit si může případně upravit dle svých představ. Nyní již Azure Sentinel hledá neobvyklé pokusy o přihlášení. Přehled nalezených hrozeb se zobrazí v pracovním prostoru Log Analytics.

Přehledy služby Azure Sentinel
Přehledy služby Azure Sentinel | zdroj: Azure Sentinel

Můžu si tuto službu zdarma vyzkoušet

Azure Sentinel je možné v Log Analytics Azure Monitoru aktivovat na prvních 31 dnů zdarma.

Upozornění: Import dat z licencovaného Microsoft 365 je zcela zdarma, ale poplatky za uložení dat do Log Analytics Azure Monitoru, automatizaci a vlastní strojové učení se však účtují i během bezplatné zkušební verze.

Co pro používání služby Azure Sentinel potřebuji mít

K připojení ke službě Azure Sentinel musíte nejdřív povolit službu Azure Sentinel a pak připojit zdroje dat. Služba Azure Sentinel je dodávána s řadou konektorů, a to i pro služby Microsoftu. Zaručují nám několik výhod – integraci v reálném čase s řešením ochran před internetovými útoky, Azure AD, Microsoft 365, Microsoft Cloud App Security a další. Pokud používáme jiné služby než ty od Microsoftu, využijeme Integrované konektory, které nám umožní implementaci zabezpečení od jiných výrobců.

K propojení zdrojů dat do Sentinel můžeme také použít Syslog nebo REST API. Dále můžeme využít Galerii odborně vytvořených přizpůsobitelných sešitů, jenž jsou sestaveny na základě vašich dat Surface Insight.

Poznámka: Budete potřebovat pracovní prostor Log Analytics. Pokud chcete použít Azure Sentinel, potřebujete oprávnění přispěvatele nebo čtenáře do skupiny prostředků, pod které daný pracovní prostor patří. Pro připojení konkrétních zdrojů dat mohou být potřeba další oprávnění.

Případy a jejich životní cyklus

Datové sady mají jedinečné životní cykly. Zprvu přistupujeme k většině dat často, to se ale postupem času mění a některá data využíváme jen zřídka. Díky životním cyklům v Azure můžeme ukládat data sety na různě dlouhou dobu podle naší potřeby, což vede i ke snížení nákladů. Správa životního cyklu Azure Blob Storage nabízí bohaté skupiny pravidel pro účty GPv2 a BLOB Storage (v Azure Portal můžete upgradovat existující účet Pro obecné účely (GPv1) na účet GPv2). Pravidla můžete použít nejen k nastavení vypršení platnosti dat, ale také k převodu dat do příslušných úrovní přístupu. Funkce je dostupná ve všech oblastech Azure. Lze ji přidat, upravit nebo odebrat pomocí kterékoli z následujících metod:

Funkce správy životního cyklu je bezplatná. Zákazníkům se účtují běžné provozní náklady za BLOB seznam a nastavování volání rozhraní API na úrovni objektů BLOB. Operace odstranění je také zadarmo.

Investigace incidentů

Pomocí cesty Incident-Prozkoumat se dostaneme do části služby Azure Sentinel, která nám umožní provést identifikaci základní příčiny problému či události. Služba zobrazuje data pro lepší přehlednost interaktivně v grafech, a to bez nutnosti psaní složitých detekčních dotazů. Protože útoky mohou být značně komplexní, je nutné každé detekční pravidlo řádně testovat a kontrolovat jeho funkčnost.

Průzkum incidentu ve službě Azure Sentinel
Průzkum incidentu ve službě Azure Sentinel | zdroj: Azure Sentinel

V základním nastavení jsou pravidla připravena ve formě šablon, aby měl každý zákazník možnost aktivovat jen ty, co mu vyhovují. Předpřipravená pravidla jsou v části Analýza a za předpokladu, že je splněna podmínka v nich definovaná, slouží pro generování upozornění (výstrah). Ty jsou následně odeslány řešitelům formou e-mailu a vytvářejí položky v části Incidentech.

Definice analytických pravidel může a nemusí využívat umělou inteligenci. Ta, v případě, že dojde k vzniku události a k ní navazující události, je sloučí a vytvoří tak komplexní detekci. Následně vzniklý Incident je možné dále prošetřovat, přiřadit jej na konkrétního řešitele, sepsat si poznámky, či nastavit Tagy daného incidentu. Reklasifikací pak lze určit jinou hodnotu rizika, než byla stanovena na základě detekčního pravidla. Do Incidentů jsou krom detekcí z Azure Sentinel automaticky propisují i Incidenty detekované přímo společností Microsoft.

Prošetřování je možné provádět i pomocí Azure Notebooks, které jsou postaveny jako interaktivní a analytické sešity. Umožní vám načíst dynamický či statický obsah z veřejných API za pomoci hned několika analytických jazyků (Python 2, Python 3, Python 3.6, R, F#). Mezi tyto operace je možné zařadit analytické výhody strojového učení, kterými knihovny jazyků disponují.

Funkce Azure sentinel

Sešity

Po připojení zdrojů dat k Azure Sentinel lze monitorovat data pomocí služby Azure monitor, která umožňuje vytvářet vlastní sešity s vašimi daty a nabízí předdefinované šablony sešitu, které vám umožní rychle získat přehled o vašich datech.

Ukázka pracovního sešitu Azure Sentinel
Ukázka pracovního sešitu Azure Sentinel | zdroj: Azure Sentinel

Analýzy

Ke snížení šumu a množství výstrah použijte analýzy upozorňující na možné hrozby. Máte možnost využít předdefinovaná pravidla korelace nebo si stavit vlastní. Azure Sentinel také poskytuje pravidla pro strojové učení, tyto pravidla mapují chování vaší sítě a následně vyhledávají možné hrozby ve vašich zdrojích. Analýza tohoto strojového učení spočívá v kombinaci méně věrohodných bezpečnostních varování z různých ohrožení v přeměnu na potenciální bezpečnostní rizika s vysokou důvěryhodností.

Zabezpečení

Běžné úlohy můžete zautomatizovat a zjednodušit si zabezpečení – a to pomocí playbooků. Ty jsou postavené na základu Azure Logic Apps. Mezi předdefinované playbooky patří 200 konektorů pro služby, jako jsou Azure Functions. Tyto konektory umožnují použít vlastní logiku v kódu, ServiceNow, JIRA, Zendesk, požadavcích HTTP, Microsoft teams, dislogic, Microsoft Defender ATP a Cloud App Security.

Šetření

Podrobné vyšetřovací nástroje vám pomohou pochopit rozsah potencionální hrozby a také najít hlavní příčinu. K dispozici je interaktivní graf, kde si můžete zvolit entitu a vidět podrobnosti o této entitě, její připojení a tak podobně – a to kvůli tomu, abyste zjistili hlavní příčinu hrozby.

Vyhledávání

Azure Sentinel obsahuje výkonné nástroje pro hledání a dotazování – ty fungují na základě Mitre Frameworku. Ten umožnuje proaktivně „lovit” bezpečnostní hrozby napříč daty vaší organizace.

Předdefinované dotazy pro pokročilé vyhledávání v Azure Sentinel

Předdefinované dotazy pro pokročilé vyhledávání | zdroj: Azure Sentinel

Komunita

Specialisté a analytici z Microsoftu neustále vytvářejí a přidávají nové workbooky, playbooky, ,,lovecké dotazy” a další. Tyto jejich výtvory poté publikují mezi komunitu, abyste je mohli i vy používat ve svém prostředí.  Z úložiště GitHub si můžete stáhnout repozitář na ukázku. S ním můžete vytvářet vlastní workbooky, ,,lovecké dotazy”, poznámkové bloky a playbooky pro službu Azure Sentinel.

Licenční model

Azure dokáže predikovat cenu předem. Existují dva způsoby, jak lze Azure Sentinel platit. Těmi jsou buď platba za rezervace kapacity nebo průběžné platby podle množství uložených dat.

Rezervace kapacity

Při rezervaci kapacity se vám účtují pevné poplatky na základě zvolené úrovně služby, navíc vám poskytuje slevu až 60 % na nákladech na základě vaší vybrané rezervace kapacity v porovnání s cenami za průběžné platby. Během prvních 31 dnů se můžete kdykoli od úrovně kapacity odhlásit.

Příklad cen za rezervaci kapacity (k datu 7.3.2020, pro aktuální cenu se podívejte na ceník Azure Sentinel)

Obrázek ukazuje ceny za rezervaci kapacity
Ceny za rezervaci kapacity | zdroj: azure.com

Průběžné platby

V průběžných platbách se účtuje každý gigabajt dat, který Azure Sentinel analyzuje a služba Log Analytics použije k uložení dat v pracovním prostoru služby Log Analytics.

Příklad ceny za průběžné platby (k datu 7.3.2020, pro aktuální cenu se podívejte na ceník Azure Sentinel)

Obrázek ukazuje příklad průběžné platby
Příklad průběžné platby | zdroj: azure.com

Poznámka: Azure Sentinel se integruje mnoha službami Azure. Díky tomu používá vylepšené funkce pro správu zabezpečení (SIEM) a pro orchestraci, automatizaci zabezpečení i reakci funkci SOAR. Některé tyto služby mohou představovat další poplatky.

Zadržení dat

Jakmile je Azure Sentinel v pracovním prostoru služby Log Analytics Azure Monitoru povolený, každý GB dat je možné v pracovním prostoru uchovat po dobu prvních 90 dní bez poplatků.

Chcete vědět více?

Informace o tom, jak Azure Sentinel používat, můžete získat v tomto kurzu nebo na následujících odkazech: