Microsoft Sentinel: Řešení využívající pro detekci hrozeb analýzu dat

  • Začít bojovat s kyberútoky v okamžiku, kdy je už vaše síť napadena, je zoufale pozdě. Aby byla vaše obrana účinná, musí útok detekovat a zastavit ještě dříve, než se dokáže rozvinout. Pomůže s tím řešení, využívající pro detekci hrozeb analýzu dat.

Sdílet

Partnerský příspěvek

Pro inteligentní detekci rizik a útoků slouží řešení typu SIEM (Security Information and Event Management), která analyzují záznamy (logy) z jednotlivých prvků v rámci prostředí.

Z implementací různých SIEM řešení má SoftwareONE největší zkušenosti s řešením Microsoft Sentinel, připraveným zejména na provoz v rámci cloudu, ve spojení se službami Microsoft 365 a Microsoft Azure. Svým zaměřením je Microsoft Sentinel vhodný především pro detekci a řešení aktuálních útoků na koncové uživatele, kteří jsou často nejslabším článkem ochrany podnikové sítě před kybernetickými útoky.

SIEM řešení Microsoft Sentinel staví na mimořádně rozsáhlých znalostech a zkušenostech Microsoftu s provozem cloudových služeb. Ty jsou pak automaticky aplikovány na každou organizaci, kde je Microsoft Sentinel nasazen, což zásadně usnadňuje konfiguraci tohoto SIEM řešení a jeho uvedení do každodenního provozu.

Především tím odpadá zdlouhavá konfigurace obecných pravidel detekce hrozeb. Podobně ze zkušeností Microsoftu vychází i sada připravených konektorů na datové zdroje, nezbytné pro provoz každého SIEM řešení, které lze velmi jednoduchým způsobem aktivovat. To vše poskytuje více prostoru na individuální přizpůsobení řešení Microsoft Sentinel vašemu prostředí a získání celkového přehledu.

Jako cloudové řešení je Microsoft Sentinel vhodným doplňkem především pro organizace využívající služby Microsoft 365 a provozující aplikace v cloudu Microsoft Azure. Microsoft Sentinel pak zabezpečí cloudové účty uživatelů, a pokud jsou tyto účty v rámci Active Directory používány i pro lokální služby a aplikace, pak budou pod ochranou SIEM řešení i tyto součásti podnikového prostředí.

Nová rizika každý den

Prostředí kybernetických hrozeb se nestále vyvíjí a útočníci přicházejí se stále novým, sofistikovanějšími způsoby útoků. Řešení SIEM, jako je Microsoft Sentinel, představují v tomto ohledu výhodu v případě, že je jejich tvůrci neustále doplňují o způsoby detekce nových typů hrozeb. Přestože je SIEM řešení neustále aktualizované o pravidla detekce nových typy útoků, nejedná se z pohledu správců podnikových sítí o nástroj, který stačí jednou nasadit a dále už není nutné se o jeho provoz příliš starat.

Právě naopak – Microsoft Sentinel i další SIEM řešení vyžadují každodenní aktivitu v podobě kontroly aktuálních hrozeb, detekovaných v rámci sítě, a reakce na závažné bezpečnostní incidenty. V případě organizací s menšími týmy na správu IT a zabezpečení je možné každodenní monitoring a správu SIEM řešení, stejně jako další nezbytné aktivity při zabezpečení prostředí před hrozbami zvenčí i zevnitř sítě, delegovat na poskytovatele řízených služeb. Svoje znalosti a zkušenosti v tomto ohledu vám rádi nabídnou i specialisté SoftwareONE.

A co konkrétně Microsoft Sentinel umí? Schopnosti detekce tohoto SIEM řešení lze využít například pro kontrolu přístupu uživatelů k dokumentům s citlivým obsahem, upozornění na neoprávněné změny typů (a oprávnění) uživatelů, přihlašování uživatelů z nestandardních zemí nebo třeba neoprávněný export privátních klíčů z ADFS serveru pro získání přístupu do Active Directory a následně i k dalším službám.

Kde začít?

Díky připraveným konektorům lze Microsoft Sentinel nasadit na všech důležitých prvcích infrastruktury. Zároveň je ale z hlediska dostupného rozpočtu a efektivity využití nákladů vhodné pečlivě uvážit, které oblasti jsou pro nasazení SIEM řešení klíčové a kam by bylo vhodné jej později rozšiřovat.

V případě řešení Microsoft Sentinel je klíčovou oblastí jeho nasazení podnikové prostředí Microsoft 365 se všemi uživatelskými účty. Právě zde totiž nejčastěji dochází k úspěšným útokům, které mají často drtivé následky pro celou organizaci. Proto je nezbytně nutné získat dokonalý přehled o bezpečnostních událostech v této klíčové součásti infrastruktury.

Další vhodnou oblastí nasazení je analýza logů z rodiny bezpečnostních produktů Microsoft Defender, která dnes pokrývá vše od koncových uživatelských zařízení (včetně mobilních) přes serverové aplikace až po cloudové prostředí Microsoft Azure.

Microsoft Sentinel umožňuje všechny informace z tohoto bezpečnostního řešení sdružit do jediného prostředí, kde dochází k jejich analýze a prezentaci zjištěných informací.

Následujícím krokem pak může být připojení na další součásti síťového prostředí, při kterém se Microsoft Sentinel neomezuje pouze na další produkty Microsoftu.

Kromě konektorů na různé druhy firewallů a antivirových řešení existuje například i možnost propojení se systémy SAP, ze kterých může toto SIEM řešení rovněž čerpat data související se zabezpečením celého prostředí. S vývojem řešení Microsoft Sentinel pak neustále přibývají i další možnosti jeho napojení na datové zdroje.

Ochrana prostředí Microsoft 365 a Azure

Microsoft Sentinel je logickým rozšířením prostředí Microsoft 365 a Microsoft Azure o pokročilou detekci hrozeb na základě SIEM. Praktické ukázky práce s prostředím řešení Microsoft Sentinel, společně s popisem jeho možností při detekci a zastavení útoků, jsme pro vás připravili v našem webináři SoftwareONE Academy. Další informace vám rádi poskytnou naši specialisté pro oblast kybernetické bezpečnosti.