Consultant | Project Manager | Team Lead Azure @ SmartIT Services AG
Mit Azure Sentinel bietet Microsoft auf Azure einen neuen Service im Bereich Identity und Security an, welcher alle Security und Monitoring Features in den Schatten stellen soll. Doch wozu dient diese Funktion wirklich? Ist sie die erhoffte Konsolidierung und Erlösung oder nur eine weitere Übersichtsseite? In den 90er Jahren gelangten langsam die ersten mystery und SciFi Serien aus Hollywood in das Schweizer Fernsehprogram, eine davon hiess «Der Sentinel – Im Auge des Jägers». Ein Polizist mit übernatürlichen Wahrnehmungen und Reflexen schafft Ordnung im Chaos der Grossstadt. Nimmt man diese Serienbeschreibung und den Funktionsumfang von Azure Sentinel, so könnte man schon das Gefühl haben, dass ein neuer Superservice am Azure Himmel aufgegangen ist. Wenn wir den neusten Service im Public Preview ein bisschen genauer unter die Lupe nehmen, merken wir relativ schnell, dass der auf Deutsch sogenannte «Wächter» tatsächlich eine konsequente Weiterentwicklung und Erweiterung zu den bestehenden Azure Security Produkte ist, welcher sehr viel mit der Serie von 1996 gemein hat.
Der Sentinel hört, sieht, riecht, schmeckt und fühlt besser
Was macht dieses Produkt denn aus, wenn wir nur von einer Weiterentwicklung sprechen? Im Vergleich zum Sentinel aus dem Fernsehen, kann man die Fähigkeiten des Azure Sentinel mit den folgende vier Fähigkeiten beschreiben:
Azure Sentinel kann alle Log- und Monitoring-Daten von Geräten (sowohl in der Cloud, als auch on prem), Benutzern, Anwendungen und Infrastrukturen über die Verbindung des Azure Monitors und der Integration eines Log Analytics Workspace vereinen. Bis zu diesem Punkt ist das keine Revolution. Was jedoch dazu kommt sind die bereitgestellten Connectoren zu andere Cloud Systemen (Google und AWS), zu Firewall Anbietern (z.B. Cisco, Checkpoint oder Fortinet) aber auch zu SaaS Services wie Office365, Advanced Threat Protection oder Azure Inforamtions Protection. Die Standardisierung dieser Connectoren vereinfacht das Zusammenführen von Analyse Daten erheblich und wodurch der Sentinel besser, tiefer in die Infrastruktur hineinsehen kann, was der gesamten Systemumgebung zugutekommt. | |
Weil er einen direkten Link zum CyberDefence Center von Microsoft hat kennt der Sentinel die aktuelle Bedrohungslage und explizite Angriffsvektoren, die er seinen Monitoring Daten gegenüberstellen kann. Dadurch gelingt ihm ein besseres «Riechen» potentieller Gefahren. Ein optimiertes Aufspüren bestimmter Events und Aktionen kann mit der «Hunting»-Funktion direkt aus dem Sentinel veranlasst werden. | |
Damit der Sentinel nicht nur ein weiteres Dashboard ist, werden mithilfe der Cognitive und KI Services verdächtige Events automatisch untersucht und auf deren Rootcause überprüft. Dabei steht wieder das geballte Wissen der Microsoft Cloud zusammen mit den Tonnen von Telemetry und AI Daten, welche von Microsoft automatisch bereitgestellt werden, zur freien Verfügung. So können sich Verantwortliche wirklich auf die Auswertung und Reaktion auf Ereignisse konzentrieren. | |
Im Gegensatz zum normalen Log Analytics Workspace, können im Azure Sentinel direkte «LogicApp»-Workflows als Effektorern angegeben werden. So werden vordefinierte Aktionen (nicht nur Alarme, sondern auch Scripts, Task etc.) automatisch beim Eintreffen eines Ereignisses ausgelöst. Dadurch sieht es aus, als ob der Sentinel «fühlen» könnte, wo der Schuh am meisten drückt. Durch die Automatisierung der in der gesamten Cloud Infrastruktur (egal ob Azure, AWS oder Google) wird der Sentinel zum wahrhaften Wächter über meine Infrastruktur. |
Wird der Sentinel nur oberflächlich betrachtet, wirkt es als ob sich die Zeitinvestitionen oder die Kosten in diesen Service nicht lohnen. Schaut man jedoch genauer hin, merkt man, dass der Sentinel nicht nur ein neues Tool ist, sondern für Infrastruktur Spezialisten die nötige Unterstützung bietet, welche im Azure Bereich dringend benötigt wird. Alle anderen Integrationen und Azure Tools werden durch den Sentinel nicht überflüssig. Security Center zum Beispiel wird weiterhin aktiv genutzt, da Sentinel diese Informationsquelle einfach angezapft und keine Konfigurationsbefugnisse für die verbundenen Services (Advanced Threath Analytics oder CloudApp Security) hat. So werden bestehende Konfigurationen und Investitionen geschützt.
Public Prewiev für alle verfügbar
Azure Sentinel ist seit Mitte Mai auf jedem Azure Tenant verfügbar und kann integriert, sowie bis zum Ende der Preview Phase kostenlos genutzt werden. Die späteren Kosten des Wächters sind im Moment noch nicht bekannt. Eine effektive Integration muss geprüft und konzipiert werden. Ausserdem sollten die Zugriffe richtig geregelt werden, da dieses Single-Point-of-Glas mit allen seinen Informationen auch ein möglicher Angriffspunkt in der Cloud ist.
Wie lange haben wir im Azure Umfeld auf so einen intelligenten Assistenten gewartet. Wann werden sie vom Kontrolleur zum Wächter? Wir unterstützen Sie gerne bei der Integration von Azure Services in Ihre Infrastruktur.
See more technical posts and informational topics at www.smartit.ch
Thanks @Sara for our collaboration
Very nice article, totally what I was looking for.