Microsoft Azure Sentinel: sistema intelligente di security analytics per la tua azienda

Gestire la sicurezza può diventare un processo infinito ed estenuante: tra i crescenti attacchi sempre più sofisticati, e alert con tempi di risoluzione a lungo termine, gli attuali strumenti di Security Information and Event Management (SIEM) non riescono a tenere il passo.

I team di Security Operations (SecOps) sono letteralmente travolti da un alto numero di segnalazioni ed impiegano moltissimo tempo a risolvere attività quali il set up di infrastrutture e la maintenance. Il risultato di tutto questo lavoro però, è che molte minacce passano comunque in sordina. Inoltre, un deficit di 3.5 milioni di professionisti della security a partire dal 2021 accrescerà ulteriormente le sfide per i team di security operations (articolo: Cybersecurity Jobs Report 2018-2021).
In uno scenario di questo tipo, è chiaro che la tua azienda ha bisogno di una soluzione che supporti il tuo attuale team SecOps in modo da avere una panoramica più chiara delle minacce ed eliminare le disattenzioni.
Per questo motivo, Microsoft ha re-inventato lo strumento di SIEM con una soluzione cloud nativa chiamata Microsoft Azure Sentinel.
Microsoft Azure Sentinel fornisce sistemi di analytics intelligenti e scalabili sul cloud per l’intera azienda. Come afferma il suo nome, è una vera e propria sentinella a difesa dell’azienda che tiene d’occhio l’organizzazione per individuare e bloccare le minacce prima che queste possano causare danni.
Persegue questo obiettivo semplificando la raccolta dei dati relativi all’intera organizzazione, sia essa on premise, cloud o ibrida. I dati vengono raccolti da diverse fonti, quali dispositivi, utenti, app, server e cloud.
Utilizza il potere dell’intelligenza artificiale a supporto dell’identificazione rapida delle minacce e ti libera dagli oneri dei tradizionali SIEM eliminando la necessità di impiegare il tuo tempo nell’impostazione, maintenance e scalabilità dell’infrastruttura. Poiché è costruita su Azure, offre flessibilità e velocità pressoché illimitate, oltre alla scalabilità automatica necessaria per soddisfare ogni esigenza a livello di sicurezza riducendo al tempo stesso i costi per l’IT.

I sistemi SIEM tradizionali risultano spesso costosi da acquistare e mettere in funzione: richiedono di frequente un impegno upfront e alti costi per la maintenance dell’infrastruttura e l’inserimento dei dati. Con Azure Sentinel non vi sono costi iniziali, pagate solo per quello che utilizzate.
Molte organizzazioni stanno utilizzando Office 365 e adottano sempre di più sistemi di sicurezza avanzata e compliance incluse in Microsoft 365. A livello di security, potreste voler combinare dati di sicurezza prevenienti dagli utenti ad applicazioni end point ad informazioni provenienti dalla vostra infrastruttura a dati di terze parti con il fine di comprendere un attacco completo. L’ideale sarebbe che possiate farlo all’interno di confini di compliance di un singolo cloud provider.
Oggi vi annunciamo la possibilità di portare i dati di attività di Office 365 su Azure Sentinel gratuitamente. Ci vogliono solo pochi click per memorizzare i dati all’interno del cloud di Microsoft.

“Con Microsoft Azure Sentinel, possiamo rispondere al meglio alle principali sfide SIEM dei nostri clienti, mentre semplifichiamo il data residency e le preoccupazioni da GDPR”.
Andrew Winkelmann, Global Security Consulting Practice Lead, Accenture

Vediamo ora come Azure Sentinel vi aiuta a fornire operazioni di sicurezza cloud native.

Raccogli i dati di tutta l’azienda in maniera semplice

Con Azure Sentinel potete raccogliere tutti i dati relativi alla sicurezza grazie a connettori incorporati, integrazioni native di segnali Microsoft e supporto per i formati di log industry standard quali formati common event e syslog. In pochi click, potete importare i vostri dati di Microsoft Office 365 gratuitamente e combinarli con altri dati di sicurezza per analizzarli.
Azure Sentinel utilizza Azure Monitor che è costruito su un database di log analytics verificato e scalabile che incorpora più di 10 petabyte al giorno e fornisce un veloce motore di ricerca che processa milioni di record in pochi secondi.

Microsoft è in stretta collaborazione con molti partner all’interno della Microsoft Intelligent Security Association.
Azure Sentinels si connette a famose soluzioni tra cui Palo Alto Networks, F5, Symantec, Fortinet e Check Point (molte altre sono in arrivo).
Azure Sentiles si integra inoltre con Microsoft Graph Security API, il che vi permette di importare i vostri propri threat intelligence feeds e customizzare il rilevamento delle minacce e le regole relative agli alert.
Ci sono dashboard personalizzabili che vi danno una visione ottimizzata a seconda dei vostri specifici use case.

Adam Geller, Senior Vice President, SaaS, virtualization, e cloud-delivered security of Palo Alto Networks ha dichiarato:
“Siamo soddisfatti della nostra continua collaborazione con Microsoft e del lavoro che stiamo facendo per fornire una migliora strumentazione di sicurezza per i nostri clienti congiunti. Quest’ultima integrazione, poi, permette ai clienti di trasmettere i log dei loro firewall virtualizzati ad Azure Sentinel, di utilizzare dashboard custom e l’intelligenza artificiale per scoprire potenziali problemi di sicurezza.
I clienti di Palo Alto Networks possono inoltre estendere Autofocus e altri strumenti di threat intelligence di terze parti ad Azure Sentinels attraverso la nuova integrazione tra MineMeld ed il Microsoft Graph Security API.”

Analizza le minacce sfruttando l’AI

I security analysts affrontano un carico ingente di lavoro dalla selezione al filtro di moltissimi alert alla correlazione degli stessi sia essa manuale o automatica con un tradizionale sistema di correlazione.
Per questo Azure Sentinel utilizza algoritmi di machine learning per mettere in relazione milioni di anomalie a bassa fedeltà per presentare incidenti di sicurezza a massima fedeltà agli analisti. Le tecnologie di ML vi aiuteranno ad ottenere velocemente valori e risultati provenienti da un significativo ammontare di dati di sicurezza.
Per esempio, potete velocemente individuare un account compromesso utilizzato per distribuire un ransomware in un’applicazione cloud.
Questo vi aiuta a ridurre drasticamente i fastidi: è stata infatti osservata una riduzione complessiva che arriva fino al 90% di alert durante la valutazione.

Reed M. Wiedower, CTO di New Signature ha dichiarato: “Riconosciamo un enorme valore ad Azure Sentinel per la sua capacità di generare risultati attorno ad un vasto raggio di diversi componenti dell’infrastruttura”

Questi modelli di machine learning integrati sono basati sulla longeva esperienza del Microsoft security team nella difesa dei cloud asset dei clienti.
Non devi per forza essere un data scientist per poter sfruttare i benefici forniti da Azure Sentinels. Se invece lo sei e vvuoi customizzare ed arricchire il rilevamento, puoi importare i tuoi modelli su Azure Sentinel utilizzando il servizio integrato di Azure Machine Learning.
Inoltre, Azure Sentinel, si può connettere ai dati dei prodotti di security di Microsoft 365 relativi all’attività dell’utente: questi possono poi essere combinati con altre sorgenti dati per fornire visibilità ad un’intera sequenza di attacchi.

Rileva attività sospette

L’indagine grafica e basata sull’AI ridurrà il tempo necessario a comprendere la piena portata di un attacco ed il suo impatto.
Potete visualizzare l’attacco ed intraprendere azioni veloci dalla stessa dashboard.

La ricerca proattiva di attività sospette è un altro compito critico per i security analysts.
Spesso, il processo attraverso cui i SecOps raccolgono ed analizzano i dati è un’operazione ripetitiva che può essere automatizzata.
Oggi, Azure Sentinel fornisce due funzionalità che vi permettono di automatizzare le vostre analisi costruendo motori di individuazione ed Azure Notebooks basati su Jupyter notebooks. Microsoft ha sviluppato una serie di query e Azure Notebooks basati sulla ricerca proattiva che eseguono i team di Microsoft’s Incident Response e Threat Analysts.
Con l’evoluzione del panorama delle minacce, evolvono anche le query di Microsoft e Azure Notebooks che continueranno a distribuirne di nuove attraverso la Azure Sentinel GitHub community.

Automatizzare le attività comuni e le risposte alle minacce

Abbiamo visto come l’intelligenza artificiale perfezioni la capacità di individuare i problemi. Una volta risolta la problematica, però, sarebbe bello non doversi trovare a risolvere continuamente lo stesso problema ma, piuttosto, automatizzare la risoluzione. Azure Sentinel fornisce automazione integrata e la strumentazione con playbook predefiniti o customizzati per risolvere le attività ripetitive e reagire velocemente alle minacce.
Azure Sentinel aumenterà le difese enterprise esistenti e gli strumenti di investigazione, inclusi i migliori prodotti di sicurezza, gli strumenti sviluppati internamente e altri sistemi quali le applicazioni di HR management e di workflow management quali ServiceNow.

La threat intelligence di Microsoft è senza eguali poichè è arricchita dall’analisi di più di 6.5 trilioni di segnali quotidiani e da anni di expertise sulla sicurezza e scalabilità del cloud che ti permetterà di ammodernare le tue security operations.

“Azure Sentinel fornisce una SIEM proattiva e cloud nativa che aiuterà i clienti a semplificare le loro security operations e a scalare all’aumentare delle dimensioni”.
Richard Diver, Cloud Security Architect, Insight Enterprises

Metti un fine ai processi di sicurezza infiniti.
Sfrutta la potenza del cloud e l’intelligenza su larga scala. Rendi i tuoi sistemi di threat protection più intelligenti e veloci grazie all’AI.
Importa i dati di Microsoft Office 365 per effettuarvici gratuitamente attività di security analytics.
Microsoft Azure Sentinels è disponibile oggi in preview gratuita all’interno del Portale di Azure.