Unsere alltäglichen Gespräche drehen sich unweigerlich um die aktuelle Pandemie und all die Veränderungen, die das Geschäftsumfeld betreffen, speziell auch unser Bewusstsein und die Sichtweise auf die Cybersicherheit. Wir bei Arco IT sind eine Gruppe von leidenschaftlichen Experten im Bereich der Cybersicherheit, die ein leistungsstarkes Werkzeug präsentieren, welches wir täglich im Kampf gegen Cyberangriffe einsetzen.
Die Sicherheitsplattform Azure Sentinel von Microsoft ist eine vielseitige Ergänzung zur Cloud-basierten Infrastruktur. Sie ermöglicht es Ihnen, Daten auf Cloud-Ebene über alle Benutzer, Geräte, Anwendungen und Infrastrukturen zu sammeln, sowohl vor Ort als auch in mehreren Clouds. Im Laufe der nächsten Monate werden unsere Arco IT-Sicherheitsanalysten Beiträge zu diesem Thema verfassen. Sie werden ihre eigenen Perspektiven vorstellen und erläutern, wie es ist, mit Azure Sentinel Tag für Tag zu arbeiten.
Wir präsentieren zunächst einen Gesamtüberblick über Sentinel: die Vorteile ihrer Verwendung, die Funktionsweise und die Einsatzmöglichkeiten. Zweitens erfahren Sie von unseren Ingenieuren, wie Sie Abfragen zur Erkennung von Bedrohungen entwickeln können. Drittens erläutern unsere Analysten nach welchem Profil von Bedrohungen sie suchen und warum einige gefährlicher sind als andere. Schliesslich Werden Sie von der ISO-Perspektive erfahren, wie es ist, ein Team mit Azure Sentinel zu koordinieren und welchen Wert dies für die Kunden hat.
Unser Ziel ist es, Ihnen die Bereiche, die Prozesse und die Vorteile von Azure Sentinel zu präsentieren.
Azure Sentinel: Definition und Vorteile
Die 2019 eingeführte Azure Sentinel liefert intelligente Sicherheitsanalysen und Bedrohungsinformationen für das gesamte Unternehmen und bietet eine einzelne Lösung zur Erkennung von Alarmen, der Sichtbarkeit von Bedrohungen, der proaktiver Jagd sowie auch deren Reaktion auf Bedrohungen.
Dabei handelt es sich um eine Cloud-Lösung für das Security Information Event Management (SIEM) und Security Orchestration Automated Response (SOAR), was so viel bedeutet wie:
- Sie ist extrem skalierbar und kann im Gegensatz zu vielen anderen SIEM-Plattformen mit sehr geringen anfänglichen Kosten und Aufwand bereitgestellt und betrieben werden. Sie benötigen auch nicht die aufwändigen und typischen grossen Vor-Ort-Server-Einrichtungen klassischer SIEM-Lösungen.
- Es handelt sich um eine systemeigene Lösung in der Microsoft-Umgebung, so dass sie für die meisten Unternehmen sehr einfach zu integrieren und zu betreiben ist.
- Sie lässt sich leicht in Industriestandards, wie Syslog, sowie in grossen und wachsenden Reihen von Sicherheitsprodukten von Drittanbietern integrieren.
Wie funktioniert die Lösung?
- Sie sammeln Daten auf Cloud-Ebene über alle Benutzer, Geräte, Anwendungen und Infrastrukturen hinweg, sowohl vor Ort als auch in mehreren Clouds.
- Erkennt bisher unentdeckte Bedrohungen und minimiert Fehlalarme mithilfe von Analysen und einmaliger Bedrohungsintelligenz.
- Untersucht Bedrohungen mit künstlicher Intelligenz (KI) und sucht nach verdächtigen Aktivitäten in grossem Massstab und greift dabei auf jahrelange Erfahrung im Bereich Cybersicherheit bei Microsoft zurück.
- Reagiert schnell auf Vorfälle, dank eingebauter Orchestrierung und Automatisierung der Aufgaben und reduziert so den Betriebsaufwand.
Azure Sentinel baut auf der gesamten Palette der bestehenden Azure-Dienste auf, wobei bewährte Grundlagen wie Log Analytics und Logic Apps in the Azure Sentinel integriert sind. Azure Sentinel bereichert Ihre Ermittlungen und Entdeckungen mit KI und «Microsoft’s Threat Intelligence Stream». Azure Sentinels kann mit der eigenen Threat-Intelligence-Plattform verknüpft werden.
Wie verwende ich es?
Azure Sentinel verbindet sich mit all Ihren Daten. Sie aktivieren Azure Sentinel kurzerhand und verbinden es dann mit Ihren Sicherheitsquellen. Azure Sentinel wird mit einer Reihe von Konnektoren für Microsoft-Lösungen geliefert, die sofort einsatzbereit sind und eine Integration in Echtzeit ermöglichen, einschliesslich Microsoft Threat Protection-Lösungen und Microsoft 365 Quellen, wie Office 365, Azure AD, Azure ATP, Microsoft Cloud App Security und mehr. Darüber hinaus gibt es integrierte Konnektoren zum breiteren Sicherheitsökosystem für Nicht-Microsoft-Lösungen und Sie können auch gängige Ereignisformate, wie Syslog- oder REST-APIs verwenden, um Ihre Datenquellen mit Azure Sentinel zu verbinden.
Arco IT ist eines der wenigen Cybersicherheitsunternehmen, die dieses brandneue und erstaunliche Tool derzeit einsetzt. Als Beratungsunternehmen können wir Ihnen helfen, Ihre Funktionen für Ihre eigenen Bedürfnisse zu nutzen. Bleiben Sie auf dem Laufenden, um weitere Informationen von unseren Experten zu erhalten, die das Azure Sentinel-Tool täglich benutzen.
