Miten pilvipohjainen Azure Sentinel SIEM -ratkaisu toimii?

Azure Sentinel SIEM 300x800px


Miten pilvipohjainen Azure Sentinel SIEM -ratkaisu toimii?



Pilvipalvelujen yleistyessä siirtyy myös tietoturvan tarve yhä enemmän pilven puoleen. Monimuotoiset hybridiympäristöt tarjoavat usein organisaatioille mukautuvimman ratkaisun, mutta samalla haasteeksi muodostuu tietoturva ja sen ylläpitäminen monimutkaisessa ympäristössä. Kun palvelimia pyörii niin paikallisesti kuin pilven puolella useammassa konesalissa, voi keskitetyn näkymän luominen muodostua hankalaksi. Jos lasketaan mukaan erilliset palomuurit ja hälytyksiä tuottavat työkalut on valvottavien asioiden lista jo melkoisen työläs. Tämän vuoksi Microsoft on tuonut markkinoille oman SIEM-ratkaisunsa, joka on täysin pilvipohjainen ja integroituu helposti niin paikalliseen kuin pilviympäristöönkin. Azure Sentinel toimii niin Microsoftin omien työkalujen, kuin myös kolmannen osapuolen häiriöilmoitusten valvojana ja mahdollistaa tarvittaessa keskitetyn valvonnan toteuttamisen.

Sentinel vastaakin suureen kysyntään pilvipohjaisena SIEM-ratkaisuna. Julkisen pilven alustana Azure tuo mukanaan huomattavia etuja Sentinelin toimintaan, jotka tekevät palvelusta ennennäkemättömän ketterän ja skaalautuvan. Etenkin palvelun pystytys on nopeaa valmiiden dataliittimien ja taustalla toimivan Log Analyticsin ansiosta. Tekninen käyttöönotto voidaan suorittaa hyvinkin rivakasti, kun tarvittavat resurssit luodaan Azureen ja hyödynnetään helppokäyttöisiä rajapintoja, joita Sentinel tarjoaa. Muutaman klikkauksen taktiikalla voidaan lokeihin saattaa niin käyttäjien kirjautumistiedot kuin palvelinten tietoturvatapahtumatkin.

 

Tehoa kyselyistä

 

Pystytyksen jälkeen Sentineliin voidaan määrittää KQL-analytiikkasääntöjä, joilla etsitään lokitetusta datasta automaattisesti poikkeamia. Sääntöjä löytyy Sentinelistä valmiina huomattava määrä, mutta myös omien kyselysääntöjen luominen on mahdollista ja jopa suositeltavaa. Näin voidaan uusiin uhkiin reagoida tehokkaasti lennossa, mutta myös mukauttaa Sentineliä omiin tarpeisiin soveltuvaksi. Kyselysäännöillä voidaan esimerkiksi havaita poikkeamia käyttäjän kirjautumistiedoissa tai vaikkapa huomioida epäilyttävät sähköpostin välityssäännöt.

Automaattisen analytiikan lisäksi Sentinel sisältää myös uhkien “metsästyspuolen”, jossa voidaan samoja kyselysääntöjä suorittaa reaaliajassa napin painalluksella. Tämä mahdollistaa tehokkaan häiriöiden etsimisen ja reaktiivisen tutkinnan, kun sitä vaaditaan. Aktiivisella uhkien metsästyksellä on suuri merkitys modernissa tietoturvassa ja Sentinelissä tämä toiminnallisuus on rakennettu ratkaisun ytimeen sekä mahdollisimman helposti lähestyttäväksi.

 

Mistä on pilvipohjaiset SIEMit tehty?

 

Teknisellä tasolla Sentinelin toiminta pohjautuu kahteen Azureen luotavaan resurssiin; Sentineliin itseensä sekä taustalla toimivaan Log Analyticsiin. Log Analytics Workspace toimii lokitettavan datan säilytyspaikkana ja hallinta-alustana. Päälle provisioitava Sentinel-resurssi taas vastaa datan vastaanottamisesta, sen analysoimisesta sekä tallentamisesta Log Analyticsiin. Näiden kahden resurssin avulla Sentinelin hallinta on hyvin läpinäkyvää ja kustannustehokasta

Sentinelin käyttöönotossa on hyvä suunnitella tarkkaan mitä lokitietoja on tarkoitus kerätä ja miten niitä halutaan käsitellä. Nouseeko tarve datan säilöntään lainmukaisista vaatimuksista vai onko tarpeena analysoida ja tutkia tiettyjä tapahtumia? Kuinka pitkään kutakin lokityyppiä on tarve säilöä ja miten säilytys toteutetaan? SIEM-ratkaisun roolissa Sentinel kykenee kerämään dataa, havainnoimaan siitä häiriöitä sekä tutkimaan häiriöiden aiheuttaneita tekijöitä. Lisäksi Sentineliin on alusta alkaen haluttu huomioida automaation mahdollisuus, jotta ylläpidosta ja löydettyihin häiriöihin vastaamisesta voitaisiin tehdä mahdollisimman helppokäyttöistä. Uudesta häiriölöydöstä on helppoa lähettää automaattinen viesti vaikkapa Teams-kanavalle, mutta myös muut toimenpiteet, kuten kaapatun käyttäjätunnuksen sulkeminen tai virtuaalikoneen sammuttaminen ovat mahdollisia. Kaikkien vaiheiden hyödyntäminen ei tietenkään ole pakollista, mutta on suositeltavaa, että käyttöönottomäärityksessä kartoitetaan tarpeet, joihin SIEMillä pyritään vastaamaan sekä selvitetään lokitettavan tiedon tarjoamat mahdollisuudet.

 

“Mites se maksupuoli?”

 

Mitä Sentinelin käyttö sitten kustantaa? Tämä luonnollisesti mietityttää kaikkia palvelusta kiinnostuneita ja onkin yksi yleisimmistä kysymyksistä, joita itse kohtaan. Sentinelin kustannukset eivät kuitenkaan ole yksiselitteisiä, joten avataan kaavaa hiukan. Lähtökohtaisesti syntyvät kustannukset laskutetaan ”Pay-As-You-Go” -laskutusmallin mukaisesti, eli täysin käytön määrän mukaan. Kulut lasketaan sisään otettua gigatavua kohden sekä säilytettyjä gigatavuja kohden. Koska ratkaisu koostuu kahdesta resurssista, Sentinelistä itsestään sekä taustalla toimivasta Log Analyticsistä, tulee molempien käytölle laskea omat hintansa, jotta kokonaishinta voidaan muodostaa. Tämä saattaa kuulostaa monimutkaiselta, mutta hinta voidaan lopulta laskea hyvinkin nopeasti ja tarkasti, jos lokitettavan datan määrästä on arvio.

Kustannusten optimoinnin kannalta onkin tärkeää, että SIEMin kanssa käytettävät datalähteet määritetään tarkkaan eikä sisään lasketa kaikkea mahdollista dataa heti paikalla. Suuret datamäärät syntyvät tyypillisesti palomuureista tai palvelinten lokitiedoista, mutta jos lokituksen kohteena ovat esimerkiksi käyttäjien kirjautumistiedot tai Officesta syntyvä data, voivat bittimäärät jäädä hyvinkin pieniksi, jolloin myös kustannukset ovat tyypillisesti hyvin matalat. Ei ole ollenkaan poikkeuksellista, että keskisuuren yrityksen käytössä Sentinelin kustannukset ovat muutaman kymmenen euron luokkaa kuukaudelta. On myös hyvä huomioida, että kaiken Sentineliin syötetyn datan säilytys on aina 90 päivää ilmaista tallennushetkestä.

Jos haluat laskea itsellesi kustannusarvion Sentinelin käytöstä, voit selvittää hinnan käsiteltyä gigatavua kohden helposti Microsoftin sivuilta: https://azure.microsoft.com/en-us/pricing/details/azure-sentinel/. 

Jos Sentinelin käyttö alkoi kuulostaa mielenkiintoiselta, suosittelen lämpimästi tutustumaan ratkaisuun. Koska teknisen ympäristön pystytys on nopeaa ja vaivatonta, on esimerkiksi muutaman kuukauden demoaminen mahdollista järjestää helposti kevyillä kustannuksilla. Vastaavasti Sentinel voidaan myös riisua pois käytöstä yhtä nopeasti kuin pystyttääkin. Me Sulavalla olemme ehtineet toteuttaa jo useamman Sentinel-käyttöönoton ja autamme mielellämme sinua mahdollisten kysymystesi kanssa ja ympäristön pystytyksessä. Ota rohkeasti yhteyttä ja ala hyödyntämään pilven tuomaa turvaa omassa ympäristössäsi!



Consultant. Olen kiinnostunut etenkin pilvipohjaisten infrastruktuuriratkaisujen tuottamisesta Microsoftin Azuressa. Pilvipohjaiset palvelut tarjoavat käytännöllisen tavan skaalata ja hallinnoida tuotettuja ratkaisuja, mikä helpottaa niin asiakkaan kuin palveluntuottajankin työtä. Sähköposti: oliver.lahti@sulava.com