در این پست می خواهیم در مورد Azure Sentinel صحبت کنیم. با این محصول می‌توانیم داده‌ها را از بسیاری از منابع مانند ابر، نقطه پایانی و دستگاه‌های شبکه جمع‌آوری، نظارت و بررسی کنیم. Azure Sentinel به عنوان یکی از پلتفرم های امنیتی اطلاعات و مدیریت رویداد (SIEM) در فضای ابری شناخته می شود که مستقیماً بر روی Microsoft Azure ایجاد شد و با استفاده از هوش مصنوعی و ارائه زیرساخت های ابری توانست به یکی از پلتفرم های نوظهور SIEM تبدیل شود. این پلتفرم می‌تواند به راحتی داده‌ها را از منابع مختلف جمع‌آوری کند و می‌تواند ویژگی‌های بسیاری مانند شناسایی و نظارت، تشخیص تهدید و پاسخ به حادثه را ارائه دهد.

Azure Sentinel به طور بومی برنامه های Azure Logic و Log Analytics را ترکیب می کند که قابلیت های آن را افزایش می دهد. Azure Sentinel از ویژگی‌های داخلی مانند هوش مصنوعی و یادگیری ماشینی برای شناسایی رفتارها و تهدیدات مخرب استفاده می‌کند.

جمع آوری اطلاعات در Azure Sentinel

دراصل این بستر به راحتی می تواند داده های مختلف بومی و شخص ثالث را از منابع مختلف دریافت کند. این ویژگی به مهندسان امنیتی اجازه می دهد تا کنترل کاملی بر تمام داده ها داشته باشند. Azure Sentinel به طور خودکار تمام داده ها را برای تجزیه و تحلیل امنیتی و پاسخ مرتبط (Correlate) می کند.

جمع‌آوری داده‌ها از کاربران، سرورها، دستگاه‌های شبکه (مانند روترها، سوئیچ‌ها و فایروال‌ها) و همچنین اتصال دهنده داخلی ابری و جمع‌آوری داده پشتیبانی از مجموعه سفارشی برای محصولات و خدمات شخص ثالث (محصولات غیر مایکروسافتی) از فرمت رویداد مشترک، Syslog و REST-API پشتیبانی کنید و راه حل هایی که می توانند مستقیماً به Azure Sentinel متصل شوند و با آن ادغام شوند عبارتند از:

  • Azure Active Directory
  • Azure Activity
  • Azure DDoS Protection
  • Azure AD Identity Protection
  • Azure Firewall
  • Azure Security Center
  • Azure Web Application Firewall
  • Office 365
  • Microsoft Defender for Identity
  • AWS CloudTrail
  • Cloud App Security
  • و...

شکار تهدیدات در Azure Sentinel

پلتفروم Azure Sentinel با قابلیت‌ها و روش‌های هوش مصنوعی (Artificial Intelligent) یادگیری ماشین (Machine Learning) توسط مایکروسافت می‌تواند تهدیدها را شناسایی و شکار کند و همچنین می‌تواند گزینه‌های False Positive را به حداقل برساند.

همچنین امروزه سازمان‌ها ترجیح می‌دهند به جای استفاده فقط از محصولات و راه‌حل‌های امنیتی برای شناسایی تهدیدها، از لایه انسانی برای شناسایی و شکار تهدیدات استفاده کنند. از این بابت Azure Sentinel ابزارهای مختلفی را برای متخصصان امنیتی و شکارچیان تهدید برای شناسایی تهدیدها فراهم می کند.

ایفای نقش Azure Sentinel به عنوان SOAR

یکی دیگر از توانایی های حائز اهمیت در Azure Sentinel این است که میتواند به عنوان SOAR شناخته می شود، که به ما امکان می دهد از طریق ویژگی Playbook پاسخ حادثه، تشخیص تهدید، گزارش و هشدار را خودکار یا زمان بندی کنیم... دراصل Playbook ها در Azure Sentinel برای خودکارسازی و زمان بندی هشدارها، پاسخ و شناسایی تهدیدات مورد استفاده قرار میگیرد.

اجزا Azure Sentinel چیست؟

Dashboard - پلتفروم Azure Sentinel دارای داشبوردی برای تجسم داده ها و نمایش هشدارهای تولید شده است.
Case - مجموعه ای از اطلاعات مربوط به یک تحلیل و بررسی خاص است که به عنوان یک مورد شناخته می شود و می تواند شامل چندین مورد از جمله هشدارهای امنیتی باشد.
Threat Hunting - بخش مهمی از نگهبان لاجوردی شکار است. این بخش برای شناسایی و شکار تهدیدات استفاده می شود. Azure Sentinel از Kusto Query Language (KQL) برای افزایش توانایی و انعطاف پذیری در شناسایی و شکار تهدیدها استفاده می کند.
NoteBook – ادغام سازی Jupyter Notebook و Azure Sentinel به این پلتفروم اجازه می دهد تا از ماژول ها و کتابخانه های مختلف برای یادگیری ماشین، تجزیه و تحلیل تعبیه شده و افزایش انعطاف پذیری استفاده کند.
PlayBook - دراصل Playbook ها در Azure Sentinel برای خودکارسازی و زمان بندی هشدارها، پاسخ و شناسایی تهدیدات مورد استفاده قرار میگیرد.
Connector - از طریق اتصال دهنده های داده، ما توانایی اتصال و جمع آوری داده ها را از راه حل های مایکروسافت و راه حل های غیر مایکروسافت داریم.
Community – دراصل Azure Sentinel نمونه های زیادی را در صفحه Github برای شناسایی و جستجوی تهدیدها ارائه می دهد. این صفحه حاوی کتاب های امنیتی و نمونه های پرس و جو برای شکار تهدید است
Analytics - تجزیه و تحلیل Azure Sentinel به کاربران اجازه می دهد تا هشدارها را سفارشی کنند و تهدیدات را از طریق Kusto Query Language (KQL) شناسایی کنند.