در این پست می خواهیم در مورد Azure Sentinel صحبت کنیم. با این محصول میتوانیم دادهها را از بسیاری از منابع مانند ابر، نقطه پایانی و دستگاههای شبکه جمعآوری، نظارت و بررسی کنیم. Azure Sentinel به عنوان یکی از پلتفرم های امنیتی اطلاعات و مدیریت رویداد (SIEM) در فضای ابری شناخته می شود که مستقیماً بر روی Microsoft Azure ایجاد شد و با استفاده از هوش مصنوعی و ارائه زیرساخت های ابری توانست به یکی از پلتفرم های نوظهور SIEM تبدیل شود. این پلتفرم میتواند به راحتی دادهها را از منابع مختلف جمعآوری کند و میتواند ویژگیهای بسیاری مانند شناسایی و نظارت، تشخیص تهدید و پاسخ به حادثه را ارائه دهد.
- بیشتر بخوانید: حمله DNS Exfiltration چیست و چگونه پیاده سازی میشود؟
Azure Sentinel به طور بومی برنامه های Azure Logic و Log Analytics را ترکیب می کند که قابلیت های آن را افزایش می دهد. Azure Sentinel از ویژگیهای داخلی مانند هوش مصنوعی و یادگیری ماشینی برای شناسایی رفتارها و تهدیدات مخرب استفاده میکند.
جمع آوری اطلاعات در Azure Sentinel
دراصل این بستر به راحتی می تواند داده های مختلف بومی و شخص ثالث را از منابع مختلف دریافت کند. این ویژگی به مهندسان امنیتی اجازه می دهد تا کنترل کاملی بر تمام داده ها داشته باشند. Azure Sentinel به طور خودکار تمام داده ها را برای تجزیه و تحلیل امنیتی و پاسخ مرتبط (Correlate) می کند.
جمعآوری دادهها از کاربران، سرورها، دستگاههای شبکه (مانند روترها، سوئیچها و فایروالها) و همچنین اتصال دهنده داخلی ابری و جمعآوری داده پشتیبانی از مجموعه سفارشی برای محصولات و خدمات شخص ثالث (محصولات غیر مایکروسافتی) از فرمت رویداد مشترک، Syslog و REST-API پشتیبانی کنید و راه حل هایی که می توانند مستقیماً به Azure Sentinel متصل شوند و با آن ادغام شوند عبارتند از:
- Azure Active Directory
- Azure Activity
- Azure DDoS Protection
- Azure AD Identity Protection
- Azure Firewall
- Azure Security Center
- Azure Web Application Firewall
- Office 365
- Microsoft Defender for Identity
- AWS CloudTrail
- Cloud App Security
- و...
شکار تهدیدات در Azure Sentinel
پلتفروم Azure Sentinel با قابلیتها و روشهای هوش مصنوعی (Artificial Intelligent) یادگیری ماشین (Machine Learning) توسط مایکروسافت میتواند تهدیدها را شناسایی و شکار کند و همچنین میتواند گزینههای False Positive را به حداقل برساند.
همچنین امروزه سازمانها ترجیح میدهند به جای استفاده فقط از محصولات و راهحلهای امنیتی برای شناسایی تهدیدها، از لایه انسانی برای شناسایی و شکار تهدیدات استفاده کنند. از این بابت Azure Sentinel ابزارهای مختلفی را برای متخصصان امنیتی و شکارچیان تهدید برای شناسایی تهدیدها فراهم می کند.
ایفای نقش Azure Sentinel به عنوان SOAR
یکی دیگر از توانایی های حائز اهمیت در Azure Sentinel این است که میتواند به عنوان SOAR شناخته می شود، که به ما امکان می دهد از طریق ویژگی Playbook پاسخ حادثه، تشخیص تهدید، گزارش و هشدار را خودکار یا زمان بندی کنیم... دراصل Playbook ها در Azure Sentinel برای خودکارسازی و زمان بندی هشدارها، پاسخ و شناسایی تهدیدات مورد استفاده قرار میگیرد.
اجزا Azure Sentinel چیست؟
Dashboard - پلتفروم Azure Sentinel دارای داشبوردی برای تجسم داده ها و نمایش هشدارهای تولید شده است.
Case - مجموعه ای از اطلاعات مربوط به یک تحلیل و بررسی خاص است که به عنوان یک مورد شناخته می شود و می تواند شامل چندین مورد از جمله هشدارهای امنیتی باشد.
Threat Hunting - بخش مهمی از نگهبان لاجوردی شکار است. این بخش برای شناسایی و شکار تهدیدات استفاده می شود. Azure Sentinel از Kusto Query Language (KQL) برای افزایش توانایی و انعطاف پذیری در شناسایی و شکار تهدیدها استفاده می کند.
NoteBook – ادغام سازی Jupyter Notebook و Azure Sentinel به این پلتفروم اجازه می دهد تا از ماژول ها و کتابخانه های مختلف برای یادگیری ماشین، تجزیه و تحلیل تعبیه شده و افزایش انعطاف پذیری استفاده کند.
PlayBook - دراصل Playbook ها در Azure Sentinel برای خودکارسازی و زمان بندی هشدارها، پاسخ و شناسایی تهدیدات مورد استفاده قرار میگیرد.
Connector - از طریق اتصال دهنده های داده، ما توانایی اتصال و جمع آوری داده ها را از راه حل های مایکروسافت و راه حل های غیر مایکروسافت داریم.
Community – دراصل Azure Sentinel نمونه های زیادی را در صفحه Github برای شناسایی و جستجوی تهدیدها ارائه می دهد. این صفحه حاوی کتاب های امنیتی و نمونه های پرس و جو برای شکار تهدید است
Analytics - تجزیه و تحلیل Azure Sentinel به کاربران اجازه می دهد تا هشدارها را سفارشی کنند و تهدیدات را از طریق Kusto Query Language (KQL) شناسایی کنند.
- بیشتر بخوانید: CSIRT چیست؟ تیم پاسخگویی به حوادث امنیتی
سلام برشما عرض ادب
ببینید مقایسه Azure Sentinel و Splunk نمیتونه بدین شکل باشه که بگیم کدوم بهتره چون که هرکدوم قابلیت های خاص خودشون رو دارند دراصل برای مثال Azure Sentinel رو ما به عنوان یک SIEM و SOAR میشناسیم و Splunk روهم میتونیم در نقش های SIEM و SOAR مورد استفاده قرار بدیم... از این بابت نکته دوم در رابطه با Azure Sentinel این است که بر روی Public Cloud ارائه شده است و دراصل یک Cloud Native SIEM میباشد اما Splunk بدین شکل نیست و هم میتواند به صورت Public Cloud از طریق Splunk Cloud مورد استفاده قرار بگیرد هم میتواند به شکل Local و سازمانی پیاده سازی شود.
ببینید تفاوت و شباهت های باهم دارند اما نمیشه گفت این بهتره یا اون بدتر و باید براساس نیاز و محیط و درنظر گرفتن شرایط اقدام به انتخاب و تهیه بفرمایید
سلام آقای مهندس
با تشکر از مطلب خوب شما، به نظر شما کارایی این SIEM از Splunk بهتره ؟