Обеспечение конфиденциальности данных – одна из ключевых задач компании. Сведения ежедневно подвергаются все более изощренным атакам, в то время как службы безопасности и управления событиями (SIEM) не успевают их блокировать. Для помощи им было создана аналитическая служба Microsoft Azure Sentinel, имеющая такие преимущества перед стандартной SIEM:
- сбор данных о безопасности по всей организации – от устройств, пользователей, приложений, серверов до любого облака;
- быстрое выявление реальных угроз;
- устранение необходимости тратить время на настройку, обслуживание и масштабирование инфраструктуры.
Построенная на Azure система предлагает практически безграничные масштаб и скорость облака. По сравнению с традиционными SIEM использование Azure Sentinel гораздо дешевле.
Особенности работы системы
Многие предприятия в своей деятельности используют Office 365 и не хотят, чтобы данные из этого приложения были потеряны при установке новой системы. Разработчики предложили решение такой проблемы – можно бесплатно передавать информацию из Office 365 в Azure Sentinel. Это потребует всего несколько кликов.
Программа работает на основе Azure Monitor – проверенной и масштабируемой базы данных аналитики журналов, которая ежедневно принимает более 10 Пб и обеспечивает быструю обработку запросов – можно отсортировать миллион записей в секунду. Microsoft Azure Sentinel также интегрируется с Microsoft Graph Security API, что позволяет настраивать правила обнаружения угроз и оповещения, а также импортировать собственные сценарии. Существуют пользовательские информационные панели, которые предоставляют возможность оптимизировать систему для конкретного случая использования.
Адам Геллер, старший вице-президент по SaaS, виртуализации и облачной безопасности Palo Alto Networks, подтверждает, что последняя интеграция позволяет клиентам пересылать свои физические и виртуализированные журналы брандмауэров следующего поколения в Azure Sentinel, а также использовать настраиваемые панели мониторинга и искусственный интеллект для быстрого обнаружения потенциальных инцидентов, угрожающих безопасности.
ИИ, который играет на стороне пользователя
Аналитики, занимающиеся обеспечением безопасности, тратят огромное количество времени на сортировку предупреждений и их сопоставление с принятыми стандартами угроз вручную. Microsoft Azure Sentinel позволяет упростить их работу благодаря таким алгоритмам:
- автоматическое сопоставление имеющихся угроз с протоколами безопасности;
- сравнение потенциально опасных файлов с теми, чья угроза была подтверждена ранее;
- отображение «скомпрометированных» учетных записей на основании проводимых в них действий.
Все это возможно благодаря технологии ML. Для подключения не нужно быть ИТ-специалистом – достаточно выбрать в меню и подключить пакет программ.
Встроенные модели машинного обучения основаны на уроках, усвоенных командой безопасности Microsoft за многие годы защиты облачных активов клиентов. Azure Sentinel может подключаться к данным об активности пользователей из продуктов безопасности Microsoft 365, которые можно комбинировать с другими источниками. Это даст возможность обеспечить наглядность всей последовательности атак.
Удобство и оптимизация работы
При появлении атаки, направленной на снижение безопасности, можно визуализировать ее схему и выполнить действия по уничтожению вредоносной программы прямо в ней.
Также Azure Sentinel предоставляет 2 возможности, которые позволяют автоматизировать анализ путем создания поисковых запросов и записных книжек Azure на основе Jupyter, разработанных для упреждения проблем от атак. Они пополняются сведениями в процессе обнаружения угроз и нахождения путей их ликвидации. Новые запросы и записные книжки Azure предоставляются через сообщество Azure Sentinel GitHub.
Интеллектуальная оценка угроз от Microsoft, которая ежедневно анализирует 6,5 триллионов сигналов, и десятилетия опыта в области безопасности в облачном масштабе, помогут усовершенствовать операции по обнаружению угроз и защите от них.