Azure Sentinel beveiligt de cloud

Signaleert, analyseert en reageert op bedreigingen

Monitoren, analyseren en beveiligen van de cloud

Sinds 2019 heeft Microsoft met Azure Sentinel een totaalpakket voor het monitoren, analyseren en beveiligen van de cloud. Azure Sentinel stelt beheerders van grote cloudomgevingen in staat om kwetsbaarheden en externe bedreigingen snel te ontdekken en te neutraliseren. Azure Sentinel is toonaangevend op het gebied van cloudsecurity en onmisbaar voor bedrijven die de overstap naar de cloud hebben gemaakt of deze nog van plan zijn te gaan maken. Daarom is het goed om te kijken wat Azure Sentinel nu precies is en wat je er mee kunt.

Datalekken, DDoS-aanvallen en cyberaanvallen zijn aan de orde van de dag en een nachtmerrie voor grote organisaties die in de cloud werken. De transitie naar online werken is onomkeerbaar en geeft ons functionaliteiten die we twintig jaar geleden niet voor mogelijk hadden gehouden, maar het maakt ons ook kwetsbaar. Gelukkig zet Microsoft met Azure Sentinel vol in op de beveiliging van cloudprocessen en op het signaleren van problemen. Zodat niet alleen de veiligheid, maar ook de continuïteit gewaarborgd is.

Wat is Azure Sentinel?

Digitale processen zijn de afgelopen jaren niet alleen toegenomen, maar ook een stuk complexer geworden. Daardoor ontstaan er makkelijker gaten in de beveiliging, waar kwaadwillenden gebruik van kunnen maken. Om kwetsbaarheden te kunnen ontdekken en aanvallen te kunnen signaleren zijn er steeds geavanceerde beveiligingstoepassingen nodig, zoals Azure Sentinel.

Microsofts Azure Sentinel combineert daarbij twee belangrijke vormen van beveiligingsmanagement. Ten eerste is Azure Sentinel een Security Information Management (SIM) systeem en ten tweede een Security Event Management (SEM) systeem. Samen vormt dit een nieuw, geavanceerd systeem genaamd Security Information en Event Management (SIEM).

SIEM bevat de log-functionaliteiten en controlesporen van het SIM, die op lange termijn geanalyseerd kunnen worden om kwetsbaarheden te ontdekken. Daarnaast kan het ook live monitoren en verbanden leggen tussen activiteiten in software en hardware. Deze functionaliteiten horen bij SEM. Door deze combinatie kunnen systemen ten alle tijden in de gaten worden gehouden, maar kunnen er ook essentiële analyses over de hele breedte van de cloud worden uitgevoerd.

Microsoft Azure Sentinel: SIEM- en SOAR-systeem

De kracht van Azure Sentinel is dat het vervolgens ook kan reageren, omdat het ook een Security Orchestration Automated Response (SOAR) systeem is. Zodra er door de informatiesystemen een bedreiging wordt gedetecteerd, is Azure Sentinel in staat om deze bedreiging in te schatten en waar nodig meteen de nodige maatregelen nemen.

Blogs over Azure Sentinel

Meer weten over Cloud Security?

Meer weten over Cloud Security?

In deze whitepaper lees je hoe een dergelijke moderne en zeer noodzakelijke cloud security aanpak eruitziet. We vertellen je hoe je in drie stappen tot een succesvolle, moderne cloud security strategie komt én hoe je deze het beste omzet in de IT-omgeving van jouw organisatie.

LEES MEER

Meer weten over onze diensten?

InSpark kan je helpen met alles rondom werken in de cloud:  cloud security, de moderne werkplek, Microsoft licenties en meer. Maak kennis met enkele van onze diensten.

Hoe werkt Azure Sentinel?

In de praktijk heeft Azure Sentinel vier kerntaken:

  1. Verzamelen van gegevens uit de cloud, van gebruikers, programma’s en hardware
  2. Detecteren van bedreigingen
  3. Onderzoeken van mogelijke bedreigingen
  4. Reageren op incidenten

Om deze vier taken uit te kunnen voeren, moet Azure Sentinel verbonden worden met verschillende Microsoft-bronnen, waaronder de cloudomgeving van Office 365, Azure Active Directory en Azure Advanced Threat Protection en andere essentiële cloud-oplossingen. Op die manier kan Azure Sentinel cloud-breed worden ingezet. Daarbij werkt Azure Sentinel het beste samen met de clouddiensten van Microsoft, omdat je de dienst gebruikt vanuit het Azure Portal. Maar buiten deze diensten kan Azure Sentinel ook met een reeks andere toepassingen van externe partijen samenwerken.

Azure Sentinel is daarmee een virusscanner on steroids. Het kan niet alleen mogelijke malware herkennen, maar het biedt een totaalbeeld van alle incidenten en mogelijke bedreigingen in de digitale omgeving van een organisatie. Azure Sentinel kan daardoor signaleren wanneer een gebruiker op een link klikt die naar een malafide website leidt, maar ook als er een DDoS-aanval plaatsvindt op serverniveau.

Naast het live monitoren van dit soort bedreigingen, kan er ook aan de hand van logs gezocht worden naar mogelijke afwijkingen. Azure Sentinel kan op basis van de data uit verschillende applicaties zelf signaleren wanneer er wordt afgeweken van een trend. Bijvoorbeeld als er opeens een hoog aantal inlogpogingen zijn bij een bepaalde dienst. In de data zal Azure Sentinel deze afwijking markeren, zodat beheerders kunnen kijken of de afwijking te verklaren is door een interne oorzaak of dat er inderdaad kwaadwillenden hebben geprobeerd om binnen te komen.

Koppel Azure Sentinel met Microsoft of externe diensten 

Azure Sentinel kan worden verbonden met een breed scala aan services. Op die manier kun je zorgen dat alle processen binnen een organisatie worden gedekt en vierentwintig uur per dag worden bewaakt. Uiteraard is Azure Sentinel compatibel met Microsoft-clouddiensten, maar er kunnen ook veel applicaties van externe leveranciers worden gekoppeld.

Data kan worden binnengehaald van diensten als Office 365, Azure Active Directory (AAD), AAD Identity Protection, Azure Advanced Threat Protection, Cloud App Security en Azure Security Center, Azure Activity en Azure Information Protection en de Azure Web Application Firewall. Daarnaast worden ook andere platforms ondersteund. Zoals Amazon Web Services (AWS), Palo Alto Networks, Cisco ASA, Check Point, Fortinet, F5, Barracuda en Symantec ICDX.

Daarnaast zijn er nog tal van kleinere diensten die verbonden kunnen worden met Azure Sentinel. Wanneer je vragen hebt over specifieke diensten, neem dan contact op met je leverancier en informeer naar de specifieke wensen van jouw organisatie. Zolang je vanuit het Azure Portal kunt werken, is er in elk geval heel veel mogelijk.

Gerelateerde security diensten

Wat kost Azure Sentinel

Om gebruik te maken van Azure Sentinel moet er een abonnement worden afgesloten. Voor de kosten hiervan wordt gekeken naar hoeveel data er wordt opgenomen in de analyse van Azure Sentinel. Er kan op twee manieren betaald worden voor de dienst.

De eerste optie is om te betalen per gebruik. Een organisatie betaalt dan een vast bedrag per opgenomen gigabyte. Dit is handig als het nog niet duidelijk is hoe groot het gegevensvolume is dat door Azure Sentinel verwerkt moet worden of als er van dag tot dag grote fluctuaties zitten in de gegevensvolumes.

De tweede optie is betalen via een vast tarief afhankelijk van de capaciteitsreservering. Als duidelijk is hoeveel een organisatie nodig heeft, kan er een bepaalde hoeveelheid gigabytes (GB) per dag worden gereserveerd. Dit is een stuk goedkoper, omdat er een vaste hoeveelheid capaciteit gereserveerd kan worden. Kortingen kunnen hierdoor oplopen tot 60% afhankelijk van de van de hoeveelheid data. Uiteraard kan er ook opgeschaald worden op het moment dat blijkt dat er niet genoeg capaciteit is, of dat er elke maand erg veel capaciteit onbenut blijft.

Bij het aanschaffen van een abonnement op Azure Sentinel is het goed om met een expert te kijken naar een security-oplossing op maat. Zodat je niet te veel betaalt voor capaciteit die je niet gebruikt. Of andersom: te weinig capaciteit reserveert en veel duurder uit bent.

Hoe neem je Azure Sentinel in gebruik? 

Als jouw organisatie een abonnement heeft afgesloten voor Azure Sentinel, is het meteen klaar voor gebruik. Azure Sentinel kan direct vanuit het Azure Portal worden geïmplementeerd. Wanneer je in het portaal zit kun je zoeken naar Azure Sentinel en een nieuwe workspace toevoegen. Als deze is aangemaakt, kunnen relevantie databronnen worden toegevoegd en het dashboard voor de betreffende workspace kan worden ingericht.

Ook kun je standaard workspaces toevoegen, zodat je een standaard dashboard krijgt dat past bij een bepaalde gegevensbron. Je kunt vervolgens in een opslag zien wat er gebeurt bij de betreffende bron. Mocht je zelf specifieke data willen weergeven of het dashboard anders willen inrichten, dan is daar ook alle ruimte voor.

Azure Sentinel optimaal gebruiken met een training en certificaat

Wanneer u Azure Sentinel gaat implementeren binnen organisatie is het van belang dat er bekwame beheerders het systeem kunnen instellen, monitoren en uitlezen. Daarom is het verstandig om iedereen die met Azure Sentinel werkt een training te laten volgen en een certificaat te laten halen. Dit kan door middel van een cursus. Via verschillende modules kan het systeem eigen worden gemaakt, van het instellen van een overzichtelijk dashboard tot aan het uitlezen van incidenten-logs.

Azure Sentinel is een zeer krachtige tool voor cloud security. Met behulp van een training zorg je dat je organisatie het maximale uit Azure Sentinel haalt en de tool optimaal kunt gebruiken.

Microsoft Azure Sentinel FAQ

  • Hoe gebruik je Azure Sentinel?

    Azure Sentinel kan worden gebruikt vanuit het Azure Portal. Wanneer er een abonnement is afgesloten kun je Azure Sentinel direct toevoegen en een workspace maken.

  • Wat kost Azure Sentinel?

    De kosten van Azure Sentinel hangen af van het gegevensvolume dat dagelijks in de analyse van Azure Sentinel wordt opgenomen. Hierbij kan gekozen worden om te betalen per afname of een vast tarief te betalen voor een bepaalde capaciteitsreservering.

  • Wat is Azure Sentinel?

    Azure Sentinel is een totaaloplossing van Microsoft voor het beveiligen van clouddiensten. Het combineert SIEM met SOAR, waardoor Azure Sentinel niet alleen bedreigingen kan signaleren en analyseren, maar er ook op kan reageren in het geval van een dreiging.

Blogs over Azure Sentinel