Microsoft Sentinel vs Microsoft Defender vs Copilot for Security – який інструмент Zero Trust вам потрібен?

Виступаючи на нещодавньому саміті з кібербезпеки, генеральний директор Microsoft Сатья Наделла пояснив: «Ми витратили роки на створення нашого підходу нульової довіри Zero Trust всередині Microsoft... Ми прагнемо поділитися тим, що ми дізналися, щоб допомогти кожній організації прискорити їх прогрес».
Microsoft Sentinel і Microsoft Defender for Cloud, а також зовсім нещодавно розроблений Microsoft Copilot for Security є інструментами, які технологічна компанія Microsoft випустила, щоб допомогти компаніям «прискорити їх просування» до світового класу безпеки.
Усі три можуть використовуватися для розробки надзвичайно успішної стратегії безпеки Zero Trust, і тому може бути не зрозуміло, ЯКИЙ з них або ЯК ви повинні їх використовувати. Дізнаймося більше про ці два рішення та як вони працюють разом для підтримки моделі Zero Trust.

Що таке Zero Trust?

Перш ніж порівнювати рішення Microsoft, корисно спочатку зрозуміти їх призначення. По суті, усі три технології можуть використовуватися для підтримки моделі безпеки Zero Trust.

Zero Trust означає саме те, що випливає з самої назви. Це модель безпеки Cloud Security, де люди (або пристрої), які входять в ІТ-мережу вашої компанії, повинні постійно доводити, що вони є тими, за кого себе видають. Тільки тому, що вони один раз правильно увійшли в систему, їм не можна довіряти беззастережно.

TЩоб зрозуміти Zero Trust, корисно порівняти його з традиційною моделлю безпеки.

Традиційна безпека

Хтось входить у ваші системи з ім'ям користувача і правильним паролем. Ви беззастережно довіряєте, що ця людина є «доброчесним виконавцем», тому що у неї є правильні облікові дані для входу. Як тільки вона потрапить всередину, вона може робити все, що захоче, у вашій мережі.

Якщо хакер увійшов у ваші системи, ви майже нічого не можете зробити, щоб запобігти подальшій шкоді.

Модель Zero Trust

Хтось входить у ваші системи з правильними обліковими даними. Однак йому надається доступ лише до файлів або систем, які йому дозволено переглядати. Якщо він хоче отримати більше даних у вашій мережі, він повинен знову підтвердити свою особу. Йому потрібно регулярно підтверджувати свою особу – часто використовуючи дуже просунуті методи аутентифікації (такі як біометрія).

Якщо хакер увійшов у вашу систему, його прогрес буде постійно сповільнюватися або зупиниться зовсім.

Чому нам потрібен Zero Trust?

Сьогодні люди часто працюють поза мережею компанії, використовуючи різні пристрої та мережі з невідомим рівнем безпеки, тому потрібен більш суворий підхід до безпеки.

Водночас атаки стають дедалі більш гетерогенними, охоплюючи різні частини підприємств та різні типи ресурсів. Наприклад, вони можуть починатися з пристрою IoT, продовжуватися до кінцевого пристрою, поширюватися на хмарний сервіс або базу даних, і включати кілька облікових записів користувачів або тенантів тощо.

Зверніть увагу, що всі продукти дуже добре доповнюють один одного і можуть бути легко активовані завдяки готовій інтеграції.

Основні можливості Microsoft Sentinel і Microsoft Defender

Що таке Microsoft Sentinel?

Microsoft Sentinel - це хмарне рішення для управління інформацією та подіями, пов’язаними з безпекою, (SIEM) та автоматизованого реагування на загрози (SOAR).

Microsoft представив Sentinel як єдине рішення для інтелектуальної аналітики безпеки, управління подіями, виявлення загроз, візуалізації загроз, їх проактивного пошуку (мисливського запиту) та реагування на загрози. Це дозволяє вашій команді безпеки зосередитися на виявленні та усуненні загроз, а не на запуску та управлінні самого сервісу. Основною перевагою Sentinel є його цілісний погляд на середовище, що забезпечує інтелектуальну аналітику безпеки. Це дозволяє:

• заздалегідь виявляти загрози;
• швидко реагувати на складні атаки;
• скорочувати час вирішення проблем;
• зменшувати кількість інцидентів безпеки.

Як працює Microsoft Sentinel?

Sentinel дає змогу бачити з висоти пташиного польоту все, що відбувається у вашому середовищі: події, активні кейси з їхнім статусом і тенденції. Використовуючи дані про загрози та аналітику Microsoft, Sentinel співвідносить сповіщення з інцидентами та ідентифікує атаки на основі ваших даних. Потім він розміщує їх на візуальній карті, щоб шкідливий трафік можна було проаналізувати і швидко обробити за допомогою вбудованої оркестровки і автоматизації типових завдань.

Інтелектуальна діаграма безпеки формує ядро Sentinel, збираючи відповідну інформацію з інших сервісів Microsoft (Microsoft Defender for Identity, Microsoft Defender for Endpoint тощо).

Microsoft Sentinel також включає аналітику поведінки користувачів, яка допомагає виявляти аномалії, скомпрометовані ідентичності та зловмисні дії інсайдерів.

За даними компанії Forrester, «система кореляції Microsoft Sentinel, заснована на базі штучного інтелекту, та аналітика на базі поведінки дозволили зменшити кількість помилкових спрацьовувань для команди SOC на 79%, а також скоротити трудовитрати, пов'язаних з поглибленими розслідуваннями, на 80%, що призвело до покращення MTTR (середнього часу відновлення)».

Основні можливості Sentinel:

1. Сповіщення про загрози. Коли ви боретеся із загрозами, які можуть вплинути на весь бізнес, важлива кожна секунда. Microsoft Sentinel співвідносить сповіщення та сигнали безпеки з різними джерелами даних - застосунками, пристроями, сервісами, мережами, інфраструктурою та користувачами - незалежно від їхнього місця розташування (локально, в Azure або в будь-якій іншій хмарі). Ви можете створювати сценарії безпеки для реагування на сповіщення. Це набори процедурних відповідей на сповіщення на базі Azure Logic Apps. Сценарії можна запускати вручну або налаштувати на автоматичний запуск.
2. Зменшення "шуму" в сповіщеннях. Вбудований штучний інтелект (ШІ) та механізми машинного навчання (ML) використовують аналітику загроз Microsoft для аналізу сигналів з різних джерел даних, зменшуючи шум від сповіщень, мінімізуючи помилкові спрацьовування та аналізуючи аномальні події, щоб представити інциденти, які справді потребують уваги.
3. Конектори даних та інтеграції: Microsoft Sentinel надає власні та сторонні інтеграції, які дозволяють клієнтам інтегрувати його з рештою своїх сервісів та/або переносити дані з інших продуктів і легко аналізувати їх у масштабі. Сервіс супроводжується низкою конекторів даних для рішень Microsoft, що забезпечують інтеграцію в режимі реального часу з рішеннями Microsoft Defender XDR, джерелами Microsoft 365 (включно з Office 365), Entra ID, Microsoft Defender for Identity, Defender for Cloud Apps, системою доменних імен, брандмауером Windows Firewall, SQL тощо.
4. Відповідає потребам ІТ-безпеки: За допомогою Sentinel команди безпеки можуть отримувати сповіщення в режимі реального часу, виправляти інциденти за допомогою машинного навчання та автоматизації штучного інтелекту, а також використовувати запити Kusto Query Language (KQL) для виявлення, ідентифікації загроз та аномалій, аналізу та проактивного полювання. Візуальні та інтерактивні дашборди заощаджують час, агрегуючи звіти з різних бізнес-підрозділів. Це дозволяє особам, які приймають рішення, отримувати пряму інформацію та аналізувати свої можливості в одному місці.

Що таке Microsoft Defender?

Microsoft Defender for Cloud, раніше відомий як Azure Security Center (ASC), - це уніфікована система управління безпекою інфраструктури. Вона забезпечує видимість робочих навантажень (хмарних і локальних) у режимі реального часу завдяки моніторингу конфігурацій і стану безпеки. Вона також дозволяє керувати хмарною безпекою та захищати хмарні робочі навантаження.

Defender надає політики безпеки, безперервну оцінку та проактивні рекомендації для обчислювальних ресурсів, даних, ідентифікації та доступу, а також мережевих ресурсів Azure. Збираючи події від агентів Azure або Log Analytics, Microsoft Defender проводить кореляцію в механізмі аналітики безпеки та надає інструменти для зміцнення стану безпеки, захисту від загроз, зміцнення мережі та захисту сервісів.

Як працює Microsoft Defender?

Основною відмінністю Microsoft Defender є постійне виявлення нових ресурсів, які розгортаються в робочих навантаженнях. Він також виконує первинну оцінку того, чи налаштовані вони відповідно до найкращих практик безпеки. Якщо виявлено аномальну поведінку, Microsoft Defender позначає ресурси, пріоритезує дії і надає список рекомендацій для користувачів на основі Azure Security Benchmark. Це специфічний для Azure набір рекомендацій щодо застосування найкращих практик безпеки та дотримання нормативних вимог, заснований на загальній системі відповідності. Щоб користувачам було ще простіше визначати пріоритети безпеки, Microsoft Defender групує рекомендації за елементами керування безпекою та присвоює кожному з них безпечну оцінку.

Основні можливості Microsoft Defender:

• Оптимізація процесу дотримання нормативних вимог. За допомогою спеціальних інформаційних панелей ви можете бачити стан середовища на базі обраних стандартів і нормативів. Політики безпеки, вбудовані в Microsoft Defender, потім відображаються в Azure Policy в режимі «тільки аудит» для всіх зареєстрованих підписок.
• Політики безпеки. За допомогою Defender ви отримуєте стандартні засоби управління політиками Azure, а також можете налаштувати індивідуальні політики безпеки для вашої організації (або для певних відділів).
• Карта мережі. Microsoft Defender також містить карту мережі - інтерактивне подання мережевої топології ваших робочих навантажень Azure і маршрутів трафіку. За замовчуванням на карті топології відображаються ресурси, для яких мережеві рекомендації мають високий або середній рівень серйозності.
• Підключення ресурсів: Як невід'ємна частина Azure, Microsoft Defender for Cloud автоматично виявляє та підключає ресурси Azure, включаючи сервіси Platform as a Service (PaaS) (SQL Database, SQL Managed Instance, облікові записи сховища тощо). Додаткові ресурси, що не належать до Azure (як для Windows, так і для Linux), можна підключити та захистити, встановивши агент Azure Arc. Дані, зібрані з віртуальних машин, зберігаються в робочому середовищі Log Analytics. Для сервісів PaaS, таких як Defender for Database, ви можете використовувати безперервний експорт, який дозволяє зберігати сповіщення про загрози безпеки в агенті Log Analytics.

І де ж тут вписується абсолютно новий Microsoft Copilot for Security?

Що, якби у нас була можливість захищати нашу інфраструктуру зі швидкістю і масштабом штучного інтелекту? Саме така концепція лежить в основі Microsoft Copilot for Security. Повністю інтегрований з Microsoft Sentinel і Microsoft Defender, Copilot for Security дає змогу організаціям:

• Усувати інциденти з небаченою раніше швидкістю.
• Швидко застосовувати політики та налаштовувати пристрої відповідно до найкращих практик.
• Використовувати Natural language для узагальнення політик і звітів.
• Знаходити ризикованих користувачів за допомогою GenAI.

Copilot підвищує спроможність команд кібербезпеки швидко реагувати на загрози та прискорює виконання завдань аналітиків безпеки. Згідно з нещодавнім дослідженням, фахівці з безпеки, які використовували Copilot for Security, надавали на 7% точніші та на 22% швидші відповіді, що є значним покращенням.