Microsoft Sentinel ali Microsoft Defender ali Copilot for Security - katero Zero Trust orodje potrebujete?

Na nedavni konferenci o kibernetski varnosti je Microsoftov izvršni direktor Satya Nadella pojasnil: »Zavezani smo, da bomo delili, kar smo se naučili, da bi pomagali vsaki organizaciji pospešiti njen napredek.«

Microsoft Sentinel in Microsoft Defender for Cloud ter nedavno Microsoft Copilot for Security so orodja, ki jih je tehnološko podjetje razvilo, da bi podjetjem pomagalo »pospešiti njihov napredek« pri doseganju večje varnosti.

Vsa tri orodja je mogoče uporabiti pri razvoju učinkovite varnostne strategije ničelnega zaupanja, zato je lahko nejasno, katero morate uporabiti in kako. V nadaljevanju boste izvedeli več o teh rešitvah in o tem, kako skupaj podpirajo Zero Trust pristop k varnosti.

Kaj je ničelno zaupanje?

Pred primerjavo Microsoftovih rešitev je treba najprej razumeti njihov namen. Navedene tehnologije se lahko uporabljajo za podporo varnostnega modela ničelnega zaupanja.

Ničelno zaupanje pomeni točno to, kar nakazuje ime. Gre za varnostni model, pri katerem morajo osebe (ali naprave), ki vstopajo v omrežje IT vašega podjetja, nenehno dokazovati, da so tisti, za katere se predstavljajo. Samo zato, ker so se enkrat pravilno prijavili, niso implicitno zaupanja vredni.

Da bi razumeli ničelno zaupanje, ga je koristno primerjati s tradicionalnim varnostnim modelom:

Tradicionalna varnost

Nekdo vstopi v vaše sisteme z uporabniškim imenom in pravilnim geslom. Posredno zaupate, da je ta oseba „dober igralec“, ker ima pravilne podatke za prijavo. Ko je enkrat v sistemu, lahko v vašem omrežju počne, kar želi.

Če je heker vstopil v vaše sisteme, ni skoraj nobenega preverjanja, ki bi mu preprečilo, da bi naredil še več škode.

Model ničelnega zaupanja

Nekdo vstopi v vaše sisteme s pravilnimi poverilnicami. Vendar ima dostop samo do datotek ali sistemov, za katere je dobil dovoljenje za ogled. Če želi raziskati več vašega omrežja, mora ponovno dokazati, kdo je. Svojo identiteto morajo redno potrjevati - pogosto z zelo naprednimi metodami avtentikacije (na primer z biometričnimi podatki).

Če je heker vstopil v vaš sistem, bo njegovo napredovanje nenehno upočasnjeno ali ustavljeno.

Zakaj potrebujemo ničelno zaupanje?

Danes ljudje pogosto delajo zunaj omrežja podjetja, uporabljajo različne naprave in omrežja z neznano stopnjo varnosti. Zato je potreben strožji pristop k varnosti.

Hkrati so napadi vse bolj heterogeni, saj zajemajo različne dele podjetja in različne vrste virov. Lahko se na primer začnejo z napravo IoT, nadaljujejo do končne točke, se razširijo na storitev v oblaku ali podatkovno zbirko, vključujejo več uporabniških računov ali tenantov itd.

Upoštevajte, da se produkti močno dopolnjujejo in jih je mogoče zlahka omogočiti zaradi »out-of-the-box« integracije.

Ključne funkcije programov Microsoft Sentinel in Microsoft Defender

Kaj je Microsoft Sentinel?

Microsoft Sentinel je rešitev za upravljanje varnostnih informacij in dogodkov (Security Information and Event Management - SIEM) ter samodejni odziv varnostnega orkestriranja (Security Orchestration Automated Response - SOAR), ki temelji na oblaku.

Microsoft je Sentinel predstavil kot enotno rešitev za inteligentno varnostno analitiko, upravljanje dogodkov, odkrivanje groženj, vidnost groženj, proaktivni lov (»hunting query«) in odzivanje na grožnje. Z njo se lahko varnostna ekipa osredotoči na odkrivanje in zmanjševanje groženj, ne pa na upravljanje storitve. Glavna prednost rešitve Sentinel je njen celostni pogled na okolje, ki zagotavlja inteligentno varnostno analitiko. To omogoča:

• zgodnje odkrivanje groženj,
• hitro odzivanje na grožnje pri zahtevnih napadih,
• krajši čas reševanja ter
• zmanjšanje obsega varnostnih incidentov.

Kako deluje Microsoft Sentinel?

Sentinel omogoča pogled iz ptičje perspektive na dogodke v okolju: dogodke, aktivne primere z njihovim statusom in trende. Sentinel z uporabo Microsoftove inteligence in analitike groženj povezuje opozorila v incidente in prepoznava napade na podlagi vaših podatkov. Nato jih umesti na vizualni zemljevid, tako da je mogoče analizirati zlonamerni »promet« in ga hitro obravnavati z vgrajeno orkestracijo in avtomatizacijo tipičnih opravil.

Inteligentni varnostni graf je jedro Sentinela, ki zbira ustrezne informacije iz drugih Microsoftovih storitev (Azure Advanced Threat Protection, Microsoft Defender Advanced Threat Protection itd.).

Microsoft Sentinel vključuje tudi analitiko vedenja uporabnikov, ki pomaga pri prepoznavanju anomalij, ogroženih identitet in zlonamernih notranjih dejanj.

Po podatkih Forresterja sta „Microsoft Sentinelov korelacijski UI motor in vedenjska analitika zmanjšala število lažno pozitivnih rezultatov za ekipo SOC za do 79 % in za 80 % zmanjšala količino dela, povezanega z naprednimi preiskavami, zaradi česar se je izboljšal MTTR - povprečni čas do popravila (ang. Mean Time To Repair).“

Ključne značilnosti sistema Sentinel vključujejo:

1. Varnostna opozorila: Pri obravnavi groženj, ki lahko vplivajo na celotno poslovanje, je pomembna vsaka sekunda. Microsoft Sentinel povezuje varnostna opozorila in signale iz različnih virov podatkov - aplikacij, naprav, storitev, omrežij, infrastrukture in uporabnikov - ne glede na njihovo lokacijo (na lokaciji (ang. on-premise), v Azure oblaku ali kateremkoli drugem oblaku). Za odzivanje na opozorila lahko ustvarite varnostne priročnike. To so zbirke postopkovnih odzivov na opozorilo, ki temeljijo na aplikacijah Azure Logic. Priročnike lahko zaženete ročno ali pa jih konfigurirate tako, da se sprožijo samodejno.
2. Zmanjšanje „šuma“ pri opozorilih: Vgrajeni UI mehanizmi in mehanizmi strojnega učenja uporabljajo Microsoftovo inteligenco groženj za analizo signalov iz različnih virov podatkov, s čimer zmanjšujejo šum v opozorilih, zmanjšujejo lažno pozitivne rezultate in analizirajo anomalne dogodke, da predstavijo incidente, ki resnično zahtevajo pozornost.
3. Povezovalniki podatkov in integracije: Microsoft Sentinel zagotavlja lastne integracije in integracije tretjih oseb, ki strankam omogočajo, da ga povežejo s preostalimi storitvami in/ali prenesejo podatke iz drugih izdelkov ter jih preprosto analizirajo v velikem obsegu. Storitev spremljajo številni podatkovni priključki za Microsoftove rešitve, ki zagotavljajo integracijo v realnem času z rešitvami Microsoft 365 Defender, viri Microsoft 365 (vključno z Office 365), Azure AD, Microsoft Defender for Identity, Microsoft Cloud App Security, Domain name system, Windows Firewall, SQL in drugimi.
4. Odziva se na varnostne potrebe IT oddelkov: Preko Sentinela lahko varnostne ekipe prejemajo opozorila v realnem času, odpravljajo incidente s pomočjo strojnega učenja in avtomatizacije umetne inteligence ter uporabljajo Kusto Query Language (KQL) za odkrivanje, prepoznavanje groženj in anomalij, analizo in proaktivni lov. Vizualne in interaktivne nadzorne plošče prihranijo čas z združevanjem poročil iz različnih poslovnih enot. Tako lahko nosilci odločanja na enem mestu dobijo neposreden vpogled in analizirajo svoje zmogljivosti.

Kaj je Microsoft Defender?

Microsoft Defender, prej znan kot Azure Security Centre (ASC), je enoten sistem za upravljanje varnosti infrastrukture. S spremljanjem varnostnih konfiguracij in stanja zagotavlja pregled nad delovnimi obremenitvami (v oblaku in na lokaciji) v realnem času. Omogoča tudi upravljanje varnostne drže v oblaku in zaščito delovnih obremenitev v oblaku.

Defender zagotavlja varnostne politike, stalno ocenjevanje in proaktivna priporočila za računalniške, podatkovne, identitetne, dostopne ter omrežne vire Azure. Z zbiranjem dogodkov iz okolja Azure ali Log Analytics agentov Microsoft Defender naredi korelacijo v varnostnem analitičnem pogonu in zagotovi orodja za krepitev varnostne drže, zaščito pred nitmi, utrditev omrežja in zaščito storitev.

Kako deluje Microsoft Defender?

Glavna razlika pri programu Microsoft Defender je nenehno odkrivanje novih virov, ki se uporabljajo v delovnih obremenitvah. Opravi tudi začetno oceno, ali so konfigurirani v skladu z najboljšimi varnostnimi praksami. Če odkrije neobičajno vedenje, Microsoft Defender označi vire, določi prednostne dejavnosti in uporabnikom zagotovi seznam priporočil, ki jih pripravi na podlagi merila Azure Security Benchmark. To je za Azure specifičen nabor smernic za najboljše prakse varnosti in skladnosti, ki temeljijo na skupnem okviru skladnosti. Da bi uporabnikom še lažje določili prednostne varnostne elemente, program Microsoft Defender priporočila razvrsti v varnostne kontrole in vsaki od njih dodeli vrednost varne ocene.

Ključne funkcije programa Microsoft Defender vključujejo:

• Poenostavljen postopek zagotavljanja skladnosti s predpisi: Z namenskimi nadzornimi ploščami si lahko ogledate stanje okolja na podlagi izbranih standardov in predpisov. Varnostne politike, vgrajene v Microsoft Defender, se nato v pobudi Azure Policy odražajo v načinu, ki omogoča samo revizijo, v vseh registriranih naročninah Centra za varnost, pa tudi v dnevnikih Azure Monitor in drugih varnostnih rešitvah Azure, kot je Microsoft Cloud App Security.
• Varnostne politike: V programu Defender so na voljo standardne kontrole politik Azure, konfigurirate pa lahko tudi prilagojene varnostne politike za določeno organizacijo (ali določene oddelke).
• Zemljevid omrežja: Microsoft Defender vključuje tudi zemljevid omrežja - interaktivni prikaz topologije omrežja delovnih obremenitev Azure in prometnih poti. Privzeto so na zemljevidu topologije prikazana sredstva, ki imajo omrežna priporočila z visoko ali srednjo stopnjo resnosti.
• Vključevanje virov: Microsoft Defender kot nativni del Azure samodejno odkrije in vklopi vire Azure, vključno s storitvami PaaS (Service Fabric, podatkovna baza SQL, upravljana instanca SQL, računi za shranjevanje itd.). Dodatne vire, ki niso v sistemu Azure (za Windows in Linux), je mogoče vključiti in zaščititi z namestitvijo agenta Log Analytics ali Azure Arc. Podatki, zbrani iz virtualnih strojev, so shranjeni v delovnem prostoru Log Analytics. Za storitve PaaS, kot je SQL ATP, lahko uporabite neprekinjen izvoz, ki omogoča shranjevanje varnostnih opozoril v delovni prostor Log Analytics.

In kam sodi popolnoma novi Microsoft Copilot for Security?

Kaj če bi imeli možnost zaščititi okolje s hitrostjo in obsegom, ki ga nudi umetna inteligenca? To je koncept, ki stoji za Microsoft Copilot for Security. Copilot for Security, ki je popolnoma integriran z Microsoft Sentinel in Microsoft Defender, organizacijam omogoča, da:

• Rešujejo incidente z večjo hitrostjo.
• Hitro aplicirajo politike in konfigurirajo naprave z najboljšimi praksami.
• Uporabljajo naravni jezik za povzemanje politik in poročil.
• Iščejo tvegane uporabnike s pomočjo GenAI.

Copilot povečuje zmogljivost ekip za kibernetsko varnost pri odzivanju na grožnje in pospešuje naloge varnostnih analitikov. V nedavni študiji so varnostni strokovnjaki s sistemom Copilot for Security predstavili za 7 % bolj natančne odgovore in 22 % hitrejše odzive, kar je bistveno izboljšanje.