Che cos'è Microsoft Azure Sentinel?
Per iniziare verranno fornite alcune definizioni e presentati i sistemi di informazioni e gestione degli eventi di sicurezza (SIEM) e Microsoft Sentinel.
Che cos'è un sistema di informazioni di sicurezza e gestione degli eventi (SIEM)?
Un sistema SIEM è uno strumento che un'organizzazione usa per raccogliere, analizzare ed eseguire operazioni di sicurezza nei sistemi. Questi sistemi possono essere appliance hardware, applicazioni o entrambi.
Nella sua forma più semplice, un sistema SIEM consente di:
- Raccogliere ed eseguire query sui log.
- Eseguire qualche tipo di correlazione o rilevamento di anomalie.
- Creare avvisi ed eventi imprevisti in base agli elementi individuati.
Un sistema SIEM può offrire le funzionalità seguenti:
Gestione dei log: possibilità di raccogliere, archiviare ed eseguire query sui dati di log dalle risorse all'interno dell'ambiente.
Avviso: un'analisi proattiva nei dati dei log per potenziali eventi imprevisti e anomalie di sicurezza.
Visualizzazione: grafici e dashboard che forniscono informazioni visive sui dati di log.
Gestione degli eventi imprevisti: possibilità di creare, aggiornare, assegnare e analizzare gli eventi imprevisti identificati.
Esecuzione di query sui dati: linguaggio di query avanzato, simile a quello per la gestione dei log, che è possibile usare per eseguire query e comprendere i dati.
Che cos'è Microsoft Azure Sentinel?
Microsoft Sentinel è un sistema SIEM nativo del cloud che consente ai team operativi che si occupano di sicurezza di:
- Ottenere informazioni dettagliate sulla sicurezza per tutta l'azienda raccogliendo i dati praticamente da qualsiasi origine.
- Rilevare e analizzare rapidamente le minacce con le funzionalità predefinite di Machine Learning e di intelligence sulle minacce di Microsoft.
- Automatizzare le risposte alle minacce con i playbook e l'integrazione di App per la logica di Azure.
Diversamente dalle soluzioni SIEM tradizionali, per eseguire Microsoft Sentinel non è necessario installare alcun server in locale o nel cloud. Microsoft Sentinel è un servizio distribuito in Azure. È possibile attivare e iniziare a usare Sentinel in pochi minuti nel portale di Azure.
Microsoft Sentinel è strettamente integrato con altri servizi cloud. Non solo è possibile inserire rapidamente i log, ma è anche possibile usare altri servizi cloud in modo nativo, ad esempio l'autorizzazione e l'automazione.
Microsoft Sentinel consente di gestire operazioni di sicurezza end-to-end, tra cui raccolta, rilevamento, analisi e risposta:
Verranno ora esaminati i componenti principali di Microsoft Sentinel.