Azure Sentinel: het 'waarom', 'hoe' en 'wat'

Proactieve cloudbeveiliging met de SIEM-oplossing van Microsoft

 

Optimale cloud-security met Microsoft Azure Sentinel

Cybersecurity is aan de orde van de dag. Ransomewareaanvallen staan met grote regelmaat in het nieuws, waardoor we ons allemaal extra bewust zijn van het feit dat hackers continu op de loer liggen. Bedrijven zijn dan ook genoodzaakt om te investeren in de nodige securitymiddelen.

Covid-19 heeft van elke organisatie een gedistribueerde organisatie gemaakt: iedere huiskamer is onderdeel van het bedrijfsnetwerk geworden. Ten eerste werken steeds meer mensen op afstand, waardoor het moeilijker is om één lijn aan te brengen in de beveiligingsstrategie. Ten tweede zijn de meeste organisaties inmiddels overgestapt van een lokale server naar de cloud. Dit betekent dat applicaties en data op allerlei plekken draaien, waardoor het overzicht ver te zoeken is. Bovendien zijn bewaking en monitoring nu overal en nergens actief.

In 2019 reageerde Microsoft op de groeiende behoefte aan een centrale verzamelplek voor alle signalen en bedreigingen van een bedrijf. Hoe? Door Azure Sentinel te lanceren. De achterliggende gedachte van deze clouddienst: één dashboard, één overzicht, één centrale bewaking.

Wat is Azure Sentinel?

Met Azure Sentinel kan je alle kwesties rondom security op één plek inzien en afhandelen. Het is een op zichzelf staande SaaS-dienst (afkorting voor: ‘Security as a Service’). Je hoeft niet te investeren in opslag en servers. De oplossing draait met één druk op de knop en koppelt snel met alles wat in de cloud zit.

Hoewel Azure Sentinel een clouddienst is, kan je het ook gebruiken om applicaties te bewaken die niet van Microsoft zijn. En als je nog bepaalde elementen hebt draaien in je datacenter, kan je deze eveneens veilig houden. Denk hierbij aan servers in je eigen datacenter, remote locaties, applicaties in andere clouds of hosting.

Azure Sentinel bestaat uit drie elementen: verzamelen, inzichten creëren en acties uitvoeren. Dit betekent dat de dienst álle informatie verzamelt en samenvoegt om hier vervolgens slimme acties op uit te voeren. Dat is noodzakelijk, want alléén signaleren is niet voldoende. Bij cyberaanvallen moet je hackers en kwaadwillenden meteen stoppen om bedrijfsschade te voorkomen. Dan telt elke minuut, óók in het midden van de nacht!

SIEM en SOAR: signaleren en ingrijpen

Azure Sentinel is een oplossing die valt onder de categorie ‘Security Information and Event Management (SIEM)’. Vaak kom je de term ‘Cloud Native SIEM’ tegen. Hiermee wordt bedoeld dat je Azure Sentinel kan afnemen als clouddienst, waarbij je werkt met een verzamelplatform. 'Event management' is het sleutelwoord: je krijgt veel verschillende signalen binnen die je aan elkaar moet koppelen om er beslissingen over te nemen. De hamvraag: is een combinatie van signalen ernstig of niet?

Een aantal scenario's zijn standaard opgenomen in Azure Sentinel. Hierin zijn bekende bedreigingen verwerkt, zodat je daartegen beschermd bent. Maar hoe zit het met signalen rondom de specifieke software die jij gebruikt? Of alarmbellen die doorgaans alleen binnen jóuw sector afgaan? Als je je ook tegen dit soort bedreigingen wilt beschermen, moet je use cases toevoegen. Doe je dat uitgebreid genoeg, dan creëer je uiteindelijk een 100% dekkingskaart. In deze context spreken we overigens ook wel van 'threat intelligence.' Dit kan je opzetten in het breed gedragen framework ‘MITRE’. Dat is wel een vak apart, dus het is raadzaam om samen te werken met een ervaren expert als je hiermee aan de slag gaat.

Wat als SIEM uitwijst dat je mogelijk bent gehackt om drie uur in de ochtend? Dan wil jij natuurlijk meteen ingrijpen. Misschien is het nodig om een account tijdelijk op slot te doen of de netwerkverbinding even uit te schakelen. In zulke gevallen treedt Security Automation Automated Response (SOAR) in werking. 'SOAR' vertegenwoordigt alle acties die je onderneemt om bedreigingen op te volgen.

UEBA: analyse vanuit gebruikersperspectief

Context is cruciaal. Stel, het systeem signaleert op één dag inlogpogingen vanuit drie verschillende geografische locaties. Dit kan wijzen op een hackpoging. Maar nu thuiswerken en hybride werken steeds meer ingeburgerd raken, is dit niet per definitie alarmerend. Als jij bijvoorbeeld elke dag of tweemaal per week vanuit deze drie locaties inlogt, is dit standaardgedrag voor jou. Oftewel, dit is jouw patroon.

Omdat SIEM-systemen zoveel alarmen genereren dat je soms door de bomen het bos niet meer ziet, heeft Microsoft recentelijk een functionaliteit geïntroduceerd in Azure Sentinel: 'User Entity Behavior Analytics' (UEBA). Bij UEBA staat het gebruikersperspectief voorop. Dit betekent dat het gedrag van de gebruiker leidend is in het analyseren van alarmen en potentiële bedreigingen.

Hét voordeel van UEBA is dat je de functionaliteit in de cloud gebruikt. UEBA is een integraal onderdeel dat ook samenwerkt met Microsoft 365 Insider Risk Management. Het mooie is dat je snel kan opschalen met veel computerkracht. Een datacenter kan je dit niet bieden.

Wat kan je met Azure Sentinel?

Als je Azure Sentinel gebruikt, worden je systemen gekoppeld. Zogeheten connectors sturen automatisch signalen door naar de clouddienst. Op een dashboard krijg je incidenten gepresenteerd, bijvoorbeeld wanneer een gebruiker ongewoon gedrag heeft vertoond. En die incidenten moet je opvolgen.

De vraag is natuurlijk hoe je dit het best kan doen. Gaat het om een bekend incident, dan kan je het standaard koppelen aan een bepaalde oplossing via SOAR. Maar dat is lang niet altijd het geval. Daarnaast moet je van tevoren bedenken wie incidenten opvolgt. Kan je dit zelf of schakel je externe expertise in?

Vergelijk Azure Sentinel eens met een fysieke beveiligingscentrale. Als daar ’s nachts een alarmbel afgaat, spring jij dan met een zaklamp in een karretje om er zelf op af te gaan? Of schakel je beveiligingsexperts in? Ben je zelf niet thuis in de beveiliging, dan is de laatste optie waarschijnlijk de beste.

Welke infrastructuur bescherm je met Azure Sentinel?

De clouddienst helpt je niet alleen bij het beschermen van de applicaties en data in je kantooromgeving (en in de daaraan gekoppelde cloud). In tegenstelling tot andere SIEM-omgevingen kan je de Azure Sentinel ook gebruiken om een industriële omgeving te bewaken. En dat kan héél zinvol zijn. Als je bijvoorbeeld een fabriek vol software en hardware hebt, loeren hackers vaak op je apparaten — zij zouden graag je productie stilleggen of je productieprocessen inzien. Zo'n on-premise infrastructuur kan je prima beveiligen in de cloud. Er is een connector met Microsoft Defender for IoT die dit mogelijk maakt.

Van reactief naar proactief

Hoewel de dreiging van hackers en ransomwareaanvallen voelbaar is, laten veel bedrijven zich nog altijd overvallen — met downtime en losgeldbetalingen tot gevolg. De oorzaak hiervan? Hun reactieve opstelling.

Hoe je Azure Sentinel ook gebruikt, de clouddienst helpt je proactief te worden op het gebied van security. Je verwerft tijdig inzichten, waardoor je je niet hoeft af te vragen óf je securityproblemen zal krijgen. Je houdt je in een zeer vroeg stadium bezig met het 'waar' en 'wanneer', zodat je kan ingrijpen voordat het te laat is.

Azure Sentinel koppelen? Geen probleem!

Wil je data ophalen uit Office 365 of Cloud App Security? Een platform als Check Point ondersteunen? Connectors maken het mogelijk. Hiermee kan je van alles aan Azure Sentinel koppelen. Denk aan clouddiensten (of deze nu van Microsoft zijn of niet), netwerkverkeer en on-premise applicaties die nog in je datacenter draaien. Maar ook aan industriële, kassa- of voorraadsystemen waar bijvoorbeeld Linux onder zit.

Kortom, je kan Azure Sentinel met allerlei digitale middelen en toepassingen combineren. Het is dus een uitstekende aanvulling op Azure Security Center (wanneer je server in Azure of Amazon draait) en threat protection van Microsoft Defender 365 (wanneer je de werkplek, identiteiten en e-mail wilt beveiligen).

Clouddienst + cybersecurity: de gouden combinatie

Azure Sentinel is ook heel goed te combineren met Managed Detection and Response (MDR). Wortell biedt MDR aan als 24/7 cybersecurity-dienst. Dit betekent dat experts je IT-omgeving dag en nacht monitoren en inzicht verschaffen in de risico's die je loopt op het gebied van cybersecurity. Daarnaast zoeken zij proactief naar dreigingen, zoals bekende lekken en sporen van hackers. Wanneer ze een dreiging detecteren, komen ze direct in actie om het probleem in de kiem te smoren. Vervolgens gaan ze aan de slag met het oplossen van het euvel — nog voordat het zich heeft kunnen ontwikkelen. Want voorkomen is beter dan genezen.

De alerts die binnenkomen zijn bovendien geheel afgestemd op jouw organisatie en sector, omdat Wortell deze specifieke dreigingsinformatie toevoegt tijdens de MDR-onboarding.

Aan de slag met Azure Sentinel: heb je externe expertise nodig?
 

Wanneer je besluit om Azure Sentinel in gebruik te nemen, is het belangrijk om te bedenken hóe je dat het beste kan doen. De clouddienst zelf aanzetten lukt vaak wel. Maar laat je daardoor niet misleiden — want daarna begint het echte werk eigenlijk pas.

Hoe onderscheid je valse meldingen van serieuze dreigingen? Hoe ga je om met SIEM, SOAR en threat protection? Hoe stel je de automatische uitvoering in van playbooks (een set acties die je koppelt aan een scenario om deze tezamen uit te voeren)? Wat doe je als je Azure-account wordt gehackt? Hoe zorg je voor monitoring buiten kantoortijden, wanneer hackers extra actief zijn? En hoe voeg je op basis van threat intelligence extra alerts toe voor dreigingen die specifiek voor jouw organisatie relevant zijn?

Een samenwerking met externe experts kan je veel hoofdbrekens besparen. Maar alleen als je kiest voor een ervaren partij die méér doet dan monitoring. Een Security Operations Center (SOC) detecteert vaak alleen dreigingen. Dat is wat ons betreft onvoldoende, want dan moet je de opvolging zelf verzorgen. Je kan liever kiezen voor een partij die MDR aanbiedt, zoals Wortell. Deze detecteert en onderzoekt dreigingen en onderneemt direct actie! Niet alleen om de huidige dreiging uit de weg te ruimen, maar ook om toekomstige problemen te voorkomen.

Azure Sentinel in gebruik nemen: de aanpak van Wortell

Wortell gelooft in partnerships. Daarom starten we altijd met een workshop. Samen brengen we de sectorspecifieke dreigingen in jouw IT-omgeving in kaart. Vervolgens maken we een plan, waarin we de standaardzaken én de out-of-the-box-oplossingen opnemen die bij jou passen.

Daarna richten we Azure Sentinel in als onderdeel van MDR. We zetten de clouddienst aan en configureren deze voor je. Door gebruik te maken van onze automation ben je binnen enkele dagen aangesloten. Daarna slaan onze experts aan het monitoren, onderzoeken en opvolgen: zij zitten er 24/7 bovenop om dreigingen op te sporen en te verhelpen.
 

Wat de services van Wortell extra bijzonder maakt? Het feit dat wij een rechtstreekse samenwerking hebben met MSTIC, het Microsoft Threat Intelligence Center. Deze afdeling kijkt samen met de Amerikaanse overheid en geheime diensten naar hackpogingen vanuit andere landen. De bevindingen bouwt Microsoft in Azure Sentinel in. De threat intelligence die uit MSTIC komt, zorgt dus voor een nóg betere beveiliging van Azure Sentinel en Microsoft 365. En Wortell heeft als een van de weinige partijen toegang tot deze afdeling van Microsoft.

John Lambert - Head of Microsoft Threat Intelligent Center and Maarten Goet - CTO Wortell

Aan welke prijzen moet je denken?

Voor Azure Sentinel betaal je wat je gebruikt (pay-per-use). Hoe hoog je maandrekening wordt, hangt af van de mate waarin je de clouddienst gebruikt en de data die via connectoren binnen komt. Voor het Wortell MDR heb je te maken met een minimale bezetting, waarvoor de instapprijs geldt. De bijkomende kosten worden bepaald door het aantal gebruikers. Het maakt niet uit hoeveelheid connectors je hebt. Helemaal in lijn met de pay-per-user modellen die Microsoft voor haar licenties gebruikt; wel zo makkelijk.

Als je Azure Sentinel eerst in actie wilt zien, biedt Wortell je die mogelijkheid. Handig, want zo kan je goed beoordelen of de dienst van toegevoegde waarde is voor jouw organisatie!