Azure Sentinel

Azure Sentinel genişlənə bilən (scalable), Security Information Event Management (SİEM) və Security Orchestration Automated Response (SOAR) bulud həllidir. Sentinel vasitəsi ilə siz bütün İT infrastrukturda baş verən prosesləri izləyə, təhlükələri aşkar edə və onlara qarşı reaksiya verə bilərsiniz.

Biz Azure Security Center haqqında danışmışıq – burada mərkəzləşmiş Dashboard vasitəsi ilə Azure platformasının təhlükəsizlik vəziyyətini nəzarətdə saxlaya  və machine learning texnologiyasından istifadə edərək real-time təhlükə riskləri barədə məlumat almaq mümkündür. Azure Security center təhükəsizlik baxımından kifayət qədər əhəmiyyətli alerting (xəbərdarlıq) və reporting (məlumatlandırma) alətidir. Lakin bu işin yarısıdır. Azure Security Center vasitəsilə biz infrastrukturda baş verən gündəlik əməliyyatları kontrol edə bilmərik. Bir çox şirkətlərdə İT adminlər Azure Security Center-dən həftəlik tövsiyələr əsasında hesabatlar siyahısı export edərək, bu hesabata əsasən öz SİEM həllərində müəyyən əməliyyatlar aparırlar. Bu isə işi çoxaldır və effektli yol sayılmır.

Bu cür hallarda Azure Sentinel-dən istifadə etmək məqsədə uyğundur. Sentinel vasitəsilə cloud-scale (Bulud miqyasında), yəni böyük hesablama infrastrukturunun imkanlarından istifadə edərək İntelligent Security Analytics (intellektual təhlükəsizlik analizi) apara, bütün cloud və on-premise mühitlərindən məlumatlar toplaya, eləcə də, Office365 və digər cloud həlləri (Amazon Web Services və sairə) ilə inteqrasiya edə bilərsiniz. Built-in formada xidmət göstərən machine learning texnologiyası təhlükələri effektiv şəkildə aşkar edə və onlara qarşı tədbirlər görməyə imkan yaradır.

Azure Sentinel 4 domain üzrə xidmət göstərir:

1.   Bu mənbələr – şəbəkə avadanlıqları, personal kompüterlər, server infrastrukturu, müxtəlif proqramlar və sairə ola bilər. Azure Sentinel cloud mühitdə fəaliyyət göstərdiyinə görə kifayət qədər geniş spektrdə yerləşən mənbələrdən məlumatlar yığa bilir. Bundan əlavə, Azure Sentinel  “out of box” olaraq bir neçə built-in connector (quraşdırılmış bağlayıcı) ilə təchiz olunmuşdur. Qeyd olunan bağlayıcılar (connector) Microsoft məhsulları olan Office365, Azure AD, Azure ATP, Microsoft Cloud App Security və digər bir çox servislər ilə real-time inteqrasiya üçün şərait yaradır. Məlumat toplamaq üçün, həmçinin Common Event Format (CEF), Syslog və ya REST-APİ servislərindən faydalanmaq olar.COLLECT (Məlumat Toplama) – Qeyd etdiyimiz kimi, istənilən SİEM həllinin əsas prinsipi, sizin mühitdə yerləşən müxtəlif mənbələrdən məlumatların qəbul edilməsi və toplanmasıdır.

2. DETECT (Aşkar etmə) – Azure Sentinel-in aşkar etmə metodlarında əsas istifadə etdiyi 2 növ texnologiya vardır.

• • Microsoft Graph Security
  • Machine Learning.

Microsoft Graph Security bütün Microsoft və partnyor şirkət servislərindən gələn məlumatları (Azure, Office 365, Windows 10, Dynamics365, Xbox, Outlook.com və sairə) bir yerə toplayır, sonra isə Machine learning texnologiyası bu məlumatları xüsusi alqoritmlər vasitəsilə analiz edərək nəticələr təqdim edir. Bu formada edilən analizlər sayəsində, əvvəllər heç yerdə aşkar edilməmiş təhlükələri aşkar edərək, bir neçə dəqiqə ərzində Azure Security Center və Azure Sentinel servislərinə xəbərdarlıq edir.

3. RESPOND (Reaksiya vermək) – Azure Sentinel tərəfindən aşkar edilmiş təhlükələrə uyğun reaksiya verilməsi üçün Playbook – lardan istifadə etmək olar. Playbook-lar manual və ya avtomatik olaraq işə salına bilər. Təhlükəsizlik playbook-u adlanan bu funksiya Azure Logic Apps servisi üzərində qurulub. Burada xüsusi şablonlardan istifadə etmək mümkündür. Azure Security Center və Azure Sentinel arasında fərqlənən əsas komponentlərdən biri məhz “Respond” mexanizmidir.

4. INVESTIGATE (Araşdırma) – Bu proses, təhlükələri Süni İntellekt texnologiyalarından istifadə edərək araşdırmaq və potensial insidentlərin baş verməsinin qarşısını proaktiv şəkildə almaq üçün nəzərdə tutulub.

Davamı var…