Изучение Azure Sentinel, нового инструмента SIEM от Microsoft
Было бы неплохо, если бы вы могли видеть приближающиеся угрозы и предотвращать их до того, как они произойдут? Последние технологические разработки в области облачных вычислений и искусственного интеллекта делают эту цель достижимой. Одна из этих новых технологий называется Azure Sentinel, и, говоря простым языком, она действует как своего рода виртуальный агент, всегда на вашей стороне, наблюдая за вашей облачной инфраструктурой Microsoft Azure, собирая данные со всех ваших устройств, приложений и пользователей, чтобы обнаруживать и исследовать и реагировать на угрозы вашему бизнесу. Чтобы узнать больше об Azure Sentinel, я недавно связался со своим экспертом по Azure Сашей Краняком и попросил его немного продемонстрировать, что он делает и как его использовать. Саша — эксперт и инструктор по безопасности и Azure с более чем двадцатилетним опытом работы в этой области. Он начал программировать на ассемблере на ZX сэра Клайва Синклера, познакомился с Windows NT 3.5, и с тех пор любовь существует. Саша владеет компанией, занимающейся обучением и консалтингом в области ИТ, которая помогает компаниям и частным лицам осваивать облачные технологии и обеспечивать безопасность в киберпространстве, предоставляя курсы Microsoft, EC-Council и его собственные курсы Azure и безопасности, а также семинары PowerClass по всему миру. Он является Microsoft MVP, MCT, региональным руководителем MCT, сертифицированным инструктором EC-Council (CEI) и в настоящее время имеет более 60 технических сертификатов. Саша часто выступает на различных международных конференциях, а также является консультантом и тренером некоторых крупнейших компаний из списка Fortune 500. Вы можете подписаться на Сашу в Твиттере @SasaKranjac. Теперь давайте обратим внимание на то, как Саша коротко проведет нас по некоторым функциям Azure Sentinel и предложит несколько комментариев по его использованию.
Не просто еще один продукт SIEM
Azure Sentinel — это недавнее дополнение Майкрософт к ландшафту безопасности гибридного облака. Он предназначен для предоставления облачной интеллектуальной аналитики не только для ваших ресурсов Azure, но и для локальных и других облачных ресурсов, таких как Office 365 и Amazon Web Services. Azure Sentinel — это продукт для управления событиями безопасности (SIEM) и автоматизированного реагирования на оркестрацию безопасности (SOAR), и я слышу, как вы говорите: «О нет, только не еще один продукт SIEM!» Но в отличие от других локальных решений, у Azure Sentinel много возможностей. Он не требует сложной установки или трудоемкой настройки инфраструктуры, поскольку он полностью основан на облаке, оснащен искусственным интеллектом и возможностями масштабирования. Azure Sentinel — это гибридное облачное решение для обеспечения безопасности, способное обрабатывать и анализировать данные из Azure и других служб облачных провайдеров, а также из рабочих нагрузок Windows и Linux независимо от того, находятся ли они локально или в облаке. Кроме того, он может анализировать данные сторонних решений для обеспечения безопасности, а также анализировать данные, поступающие из Office 365, Cloud App Security, Azure Information Protection и других.
Огромное количество данных, генерируемых гибридными ресурсами, требует большой вычислительной мощности для анализа и получения из него полезной и полезной информации. Azure Sentinel помогает и предоставляет возможности в четырех важнейших областях или этапах:
- Собрать. Сбор данных из нескольких источников и облаков, локально, приложений, инфраструктуры, пользователей, служб и т. д.
- Обнаружить. Выявляйте угрозы защищенным и отслеживаемым ресурсам по мере их возникновения, сводя к минимуму время реагирования на угрозы.
- исследовать. Поиск и обнаружение вредоносных действий на всех защищенных ресурсах с помощью искусственного интеллекта.
- Ответить. Как только угроза станет известна, избегайте ручных действий и реагируйте на угрозы с помощью автоматизированных задач.
На момент публичного появления в конце февраля Azure Sentinel находится в «Предварительной версии», и не все его функции еще полностью доступны. Цена пока неизвестна, но ожидается, что она будет объявлена перед выходом из этапа предварительного просмотра. Между тем, почему бы не попробовать Azure Sentinel? Однако есть некоторые предпосылки. Вам необходимо иметь разрешение участника на подписку и рабочую область Log Analytics. В настоящее время Azure Sentinel поддерживает рабочие области, созданные только в следующих регионах: Юго-Восточная Австралия, Центральная Канада, Центральная Индия, Восточная часть США, Восточная часть США 2 EUAP (Канарские острова), Восточная Япония, Юго-Восточная Азия, Южная Великобритания, Западная Европа и Западная часть США 2. Поддержка других рабочих областей может быть доступна позже.
Использование Azure Sentinel: пошаговое руководство
Прежде всего, вам нужно включить Azure Sentinel:
- Либо перейдите в Marketplace, Все службы, либо найдите Azure Sentinel в поле поиска. Щелкните Azure Sentinel и нажмите +Добавить.
- Выберите рабочую область для подключения к Azure Sentinel. Рабочая область должна быть создана в одном из поддерживаемых регионов. Щелкните Добавить Azure Sentinel.
После подключения рабочей области вам необходимо подключить ресурсы данных к Azure Sentinel, чтобы иметь возможность пересылать события журнала и данные для анализа. Нажмите Соединители данных, и появится список доступных соединителей, позволяющий подключать различные источники данных, от Azure Active Directory и Office 365 до сторонних поставщиков решений, таких как Cisco ASA, Fortinet, Barracuda, F5, а также любого издателя, поддерживающего общий формат событий ( CEF) журналы:
Одна жалоба: хотелось бы, чтобы колонка Data Connectors была отформатирована более четко, например, в виде списка, или, по крайней мере, чтобы текущая мозаичная компоновка показывала, что настроено, а что еще не настроено. Помните, что это предварительная версия, и в будущем здесь многое может измениться.
Чтобы настроить соединитель или источник данных, нажмите «Настроить», и откроется новая колонка. У каждого коннектора есть свои настройки, и в зависимости от коннектора для подключения источника данных требуется один или несколько шагов. На следующем изображении показан соединитель Common Event Format и этапы его настройки.
Некоторые соединители не требуют более одного щелчка для подключения, например соединитель защиты идентификации Azure Active Directory, и могут иметь дополнительные требования, такие как лицензия Azure Active Directory Premium P1/P2 в этом примере:
После подключения и настройки всех необходимых источников данных Azure Sentinel начинает собирать данные. Прежде чем вы сможете увидеть какие-либо действия, может пройти несколько минут. Чем больше времени проходит, тем больше данных будет у Azure Sentinel, и количество событий и предупреждений будет расти, а графики начнут отображаться:
Параметры управления угрозами и настройки находятся слева, а центральная часть отведена для краткого обзора событий, предупреждений и случаев, графика, представляющего события и предупреждения с течением времени, и карты мира, отображающей источник и местонахождение потенциальных вредоносных событий.
Log Analytics доступен напрямую в Azure Sentinel через колонку Logs и дает возможность использовать хорошо известный язык запросов Kusto (KQL) непосредственно в рабочей области Log Analytics, подключенной к Azure Sentinel:
Здесь вы можете протестировать и написать свои собственные запросы к журналу, которые вы сможете использовать позже в Analytics для создания настраиваемых правил оповещения. Например, следующий запрос будет искать идентификатор события безопасности с номером 4625, который является действием учетной записи, не сумевшей войти в виртуальную машину Windows.
событие безопасности | где EventID == 4625
Чтобы создать пользовательское правило оповещения в Analytics с использованием того же запроса, перейдите в колонку Analytics и нажмите +Добавить:
Введите имя правила, описание, его статус (включено или отключено) и выберите Серьезность. На панели «Логика» отобразится диаграмма результатов, как только вы введете запрос KQL в поле «Установить запрос оповещения»:
Щелкните Просмотреть журналы результатов запроса >, чтобы немедленно протестировать запрос в Log Analytics. Настройте значение триггера оповещения, а также частоту запуска оповещения. По мере добавления функций автоматизация в реальном времени позволит мгновенно запускать оповещения, и станет доступно больше сущностей. После того, как вы нажмете «Сохранить», пользовательское оповещение будет запущено в соответствии с предварительно заданным расписанием и сгенерирует оповещения, если будет достигнуто пороговое значение неудачных попыток входа в систему.
Вы можете добавить Playbooks, то есть определить рабочие процессы Logic App, которые будут автоматизировать действия на основе предупреждений. Вы можете определить Playbooks, которые будут выполнять различные автоматизированные задачи, такие как отправка электронного письма с уведомлением об увеличении количества неудачных попыток входа в систему, блокировка доступа к виртуальной машине или завершение работы виртуальной машины, блокировка учетной записи пользователя, занесение IP-адресов злоумышленников в черный список. и многое другое.
Функция Azure Sentinel, которая не сразу заметна и все еще находится в предварительной версии, — это Azure Sentinel Fusion. Fusion использует мощные алгоритмы и машинное обучение для анализа, сортировки и сопоставления событий из нескольких источников в случаях безопасности. Казалось бы, не связанные между собой события могут быть связаны, и Fusion помогает нам в этом. По умолчанию он не включен, и вы можете сделать это через Azure Cloud Shell, введя следующую команду:
az resource update --ids /subscriptions/{Guid подписки}/resourceGroups/{Имя группы ресурсов аналитики журналов}/providers/Microsoft.OperationalInsights/workspaces/{Имя рабочей области аналитики журналов}/providers/Microsoft.SecurityInsights/settings/Fusion -- api-version 2019-01-01-preview --set properties.IsEnabled=true --subscription "{Subscription Guid}"
Azure Sentinel обеспечивает упреждающую и действенную аналитику журналов безопасности от облачных до локальных сред на основе новейших современных возможностей искусственного интеллекта и машинного обучения. Это лишь беглый взгляд на функции Azure Sentinel, и мне не терпится попробовать другие недавно анонсированные функции, такие как среда разработки обнаружения, алгоритмы машинного обучения в шаблонах, фрагменты кода, управление моделями, развертывание моделей, планировщик рабочих процессов, возможности управления версиями данных и специализированные библиотеки аналитики безопасности и многое другое.