Microsoft Sentinel
In 2019 lanceerde Microsoft Sentinel; security information en event management (SIEM) en security orchestration, automation en response (SOAR) oplossing. Dat is een hele mondvol, dus laten we eens op een rijtje zetten wat het voor jou en de beveiliging van jouw bedrijf kan betekenen!
Microsoft Sentinel is beschikbaar in de Azure-portal en heeft tot doel alle informatie op één plek te brengen door verbinding te maken met bestaande applicaties en infrastructuur, zowel van on-premises als van multi cloudleveranciers. Eenmaal verbonden, kan Microsoft Sentinel gebruikmaken van geavanceerde beveiligingsanalyses en bedreigingsinformatie om je te informeren over zowel bestaande als nieuwe beveiligingsbedreigingen.
Microsoft Sentinel is opgebouwd uit vie kernfunctionaliteiten:
- Gegevens verzamelen over de gehele (hybride) organisatie
- Bedreigingen detecteren met behulp van bedreigingsinformatie
- Onderzoek bedreigingen met kunstmatige intelligentie (AI)
- Snel reageren op incidenten
Microsoft Sentinel biedt connectoren voor Microsoft-oplossingen en een toenemend aantal niet-Microsoft-oplossingen, evenals de mogelijkheid om algemene gebeurtenisformaten zoals Syslog en REST-API te gebruiken.
Om enkele populaire Microsoft connectoren te benoemen:
- Microsoft 365 defender
- Office 365
- Azure Active Directory
- Microsoft Defender for Identity
- Azure Web Application Firewall
Andere leveranciers:
- Amazon Web Services
- Palo Alto Networks
- Cisco ASA
- Checkpoint
- Barracuda
- Fortinet
In tegenstelling tot de meeste andere SIEM-systemen, beschermt Microsoft Sentinel niet alleen jouw kantooromgeving, maar het kan het ook worden gebruikt om industriële omgevingen te beschermen. Met behulp van de Microsoft Defender for IoT connector kun je zowel industriële soft- als hardware toevoegen aan Sentinel!
Zodra uw gegevensbronnen zijn verbonden, kun je beginnen met het bewaken van de gegevens met behulp van werkmappen. Met werkmappen kun je waarschuwingen instellen op basis van bepaalde voorwaarden; er zijn vooraf gedefinieerde werkmappen die de meest gebruikte bewakingswaarden bevatten, maar er is ook de mogelijkheid om je eigen aangepaste werkmappen te maken.
Analytics worden gebruikt om het aantal waarschuwingen te verminderen; Microsoft Sentinel groepeert waarschuwingen in een incident die kan worden onderzocht en opgelost. Je kunt gebruikmaken van de ingebouwde correlatieregels of ze gebruiken als uitgangspunt om je eigen regels te maken.
Microsoft Sentinel biedt ook machine learning-regels die kunnen worden gebruikt om het netwerkgedrag in kaart te brengen en eventuele afwijkingen op te sporen; het afstemmen van meerdere waarschuwingen op een lager niveau van verschillende entiteiten om een potentieel beveiligingsincident met een hoog risico te identificeren.
Je kunt op de meeste bedreigingen direct in Sentinel of in de aangesloten applicatie reageren door de link uit de waarschuwing te gebruiken. Het is mogelijk om een aantal van veelvoorkomende taken te automatiseren, een goed voorbeeld zou zijn om een ticket aan te maken wanneer een bepaalde gebeurtenis plaatsvindt.
Bovendien zijn er meer functies waarmee beveiligingsbeheerders verder onderzoek en opsporingsmogelijkheden kunnen uitvoeren!