Azure Well Managed: Deel 4 Azure Sentinel

Blogserie-Azure-Well-Managed

Voor de blogserie van zes blogs over “Azure Well Managed” spreekt Bas van der Kruijssen zich uit over hoe je het cloud platform het beste kunt opbouwen, onderhouden en managen. Een gedegen opzet, onderhoud en beheer is de basis voor een stabiel Azureplatform. De komende weken kan je in de blogs tips en tricks verwachten m.b.t. de volgende onderwerpen:  Governance, Azure Monitor, Security Center, Azure Sentinel, automatiseren en platform optimalisatie.

Deze blog gaat over het Azure Sentinel. Een “Well Managed” platform biedt inzichten en mogelijkheden om beveiligingsrisico’s te detecteren, analyseren en mitigeren.

Azure Sentinel

Figuur 1 – SIEM in Azure Governance

Azure Sentinel is de Security Information and Event Management (SIEM) oplossing die onderdeel uitmaakt van het Azure platform. Het Azure Security Center is nog beperkt in toepassing op het Azure platform en niet-Azure virtuele machines. Azure Sentinel biedt de mogelijkheid om beveiligingsinformatie en meldingen te combineren uit het gehele Azure platform en andere (niet Azure) oplossingen. Meer mogelijkheden dus!

De basis van Sentinel bestaat uit Azure Log Analytics en (beveiligings)gegevens die daarin beschikbaar zijn. Door verschillende bronnen te koppelen aan de Log Analytics omgeving komt een grote data set beschikbaar. Geholpen door moderne technieken als Machine Learning en Artificial Intelligence is deze oplossing in staat om gebeurtenissen uit verschillende bronnen te correleren en zo risico’s onder de aandacht te brengen die voorheen niet werden gedetecteerd.

Connectoren

Azure Sentinel beschikt over een grote hoeveelheid connectoren die in staat zijn om data op te halen. Zowel uit Azure en Microsoft platformen, maar ook voor niet-Microsoft oplossingen. In de Microsoft documentatie is het precieze overzicht terug te vinden. Een kleine greep uit de ondersteunde producten:

  • Azure Active Directory
  • Office 365
  • Cloud App Security
  • Azure Security Center
  • Windows Security Events
  • AWS CloudTrail
  • Barracuda WAF & CloudGen Firewall

Proces Automatisering

Naast het detecteren (reactief) en opsporen (proactief) van risico’s bevat Azure Sentinel ook middelen om volledig geautomatiseerd te reageren. Dit wordt ook wel Security Orchestration Automated Response (SOAR) genoemd.

Azure Sentinel bevat een aantal standaard detectie templates. Bovendien is het ook mogelijk om zelf templates aan te maken. Templates voor een specifieke workload van jouw bedrijf of applicatie. De automatiseringsmogelijkheden van Sentinel zijn gebouwd op Azure Logic Apps technologie. Ze bieden verregaande mogelijkheden om het beveiligingsproces te automatiseren.

Figuur 2 – SOAR stroom schema

Vanuit het “Well Managed” oogpunt dat voor deze blogserie is gebruikt, zijn in de volgende delen een aantal principes van het Cloud Adoption Framework gekoppeld aan technische oplossingen. Deze maken standaard deel uit van het Azure platform. Je hebt nu deel 4 (Azure Sentinel) van deze blogserie gelezen. Andere blogs uit deze serie zijn ten eerste Governance, ten tweede deel 2 Azure Monitor en ten derde deel 3 Security Center.

Auteur: Bas van der Kruijssen

Bas van der Kruijssen is managing consultant bij 3fifty.

× Stel jouw vraag direct via Whatsapp Available from 09:00 to 17:00