Miten pilvipohjainen Microsoft Sentinel SIEM -ratkaisu toimii?

Pilvipalvelujen yleistyessä siirtyy myös tietoturvan tarve yhä enemmän pilven puoleen. Monimuotoiset hybridiympäristöt tarjoavat usein organisaatioille mukautuvimman ratkaisun, mutta samalla haasteeksi muodostuu tietoturva ja sen ylläpitäminen monimutkaisessa ympäristössä.

Kun palvelimia pyörii niin paikallisesti kuin pilven puolella useammassa konesalissa, voi keskitetyn näkymän luominen muodostua hankalaksi. Jos lasketaan mukaan erilliset palomuurit ja hälytyksiä tuottavat työkalut on valvottavien asioiden lista jo melkoisen työläs. Tämän blogin sisältö on päivitetty edellisen kerran maaliskuussa 2022, syyskuussa 2024 pidimme aiheesta webinaarin Microsoft Sentinel, SIEM-ratkaisu joka ympäristöön. Voit katsoa sen tallenteen täällä.

Tämän vuoksi Microsoft on tuonut markkinoille oman SIEM-ratkaisunsa, joka on täysin pilvipohjainen ja integroituu helposti niin paikalliseen kuin pilviympäristöönkin. Microsoft Sentinel (ent. Azure Sentinel) toimii niin Microsoftin omien työkalujen, kuin myös kolmannen osapuolen häiriöilmoitusten valvojana ja mahdollistaa tarvittaessa keskitetyn valvonnan toteuttamisen.

Sentinel vastaakin suureen kysyntään pilvipohjaisena SIEM-ratkaisuna. Julkisen pilven alustana Azure tuo mukanaan huomattavia etuja Sentinelin toimintaan, jotka tekevät palvelusta ennennäkemättömän ketterän ja skaalautuvan. Etenkin palvelun pystytys on nopeaa valmiiden dataliittimien ja taustalla toimivan Log Analyticsin ansiosta.

Tekninen käyttöönotto voidaan suorittaa hyvinkin rivakasti, kun tarvittavat resurssit luodaan Azureen ja hyödynnetään helppokäyttöisiä rajapintoja, joita Sentinel tarjoaa. Muutaman klikkauksen taktiikalla voidaan lokeihin saattaa niin käyttäjien kirjautumistiedot kuin palvelinten tietoturvatapahtumatkin.

Tehoa kyselyistä

Pystytyksen jälkeen Sentineliin voidaan määrittää KQL-analytiikkasääntöjä, joilla etsitään lokitetusta datasta automaattisesti poikkeamia. Sääntöjä löytyy Sentinelistä valmiina huomattava määrä, mutta myös omien kyselysääntöjen luominen on mahdollista ja jopa suositeltavaa. Näin voidaan uusiin uhkiin reagoida tehokkaasti lennossa, mutta myös mukauttaa Sentineliä omiin tarpeisiin soveltuvaksi. Kyselysäännöillä voidaan esimerkiksi havaita poikkeamia käyttäjän kirjautumistiedoissa tai vaikkapa huomioida epäilyttävät sähköpostin välityssäännöt.

Automaattisen analytiikan lisäksi Sentinel sisältää myös uhkien “metsästyspuolen”, jossa voidaan samoja kyselysääntöjä suorittaa reaaliajassa napin painalluksella. Tämä mahdollistaa tehokkaan häiriöiden etsimisen ja reaktiivisen tutkinnan, kun sitä vaaditaan.

Aktiivisella uhkien metsästyksellä on suuri merkitys modernissa tietoturvassa ja Sentinelissä tämä toiminnallisuus on rakennettu ratkaisun ytimeen sekä mahdollisimman helposti lähestyttäväksi.

Mistä on pilvipohjaiset SIEMit tehty?

Teknisellä tasolla Sentinelin toiminta pohjautuu kahteen Azureen luotavaan resurssiin; Sentineliin itseensä sekä taustalla toimivaan Log Analyticsiin. Log Analytics Workspace toimii lokitettavan datan säilytyspaikkana ja hallinta-alustana. Päälle provisioitava Sentinel-resurssi taas vastaa datan vastaanottamisesta, sen analysoimisesta sekä tallentamisesta Log Analyticsiin. Näiden kahden resurssin avulla Sentinelin hallinta on hyvin läpinäkyvää ja kustannustehokasta

Sentinelin käyttöönotossa on hyvä suunnitella tarkkaan mitä lokitietoja on tarkoitus kerätä ja miten niitä halutaan käsitellä. Nouseeko tarve datan säilöntään lainmukaisista vaatimuksista vai onko tarpeena analysoida ja tutkia tiettyjä tapahtumia? Kuinka pitkään kutakin lokityyppiä on tarve säilöä ja miten säilytys toteutetaan?

SIEM-ratkaisun roolissa Sentinel kykenee kerämään dataa, havainnoimaan siitä häiriöitä sekä tutkimaan häiriöiden aiheuttaneita tekijöitä. Lisäksi Sentineliin on alusta alkaen haluttu huomioida automaation mahdollisuus, jotta ylläpidosta ja löydettyihin häiriöihin vastaamisesta voitaisiin tehdä mahdollisimman helppokäyttöistä. Uudesta häiriölöydöstä on helppoa lähettää automaattinen viesti vaikkapa Teams-kanavalle, mutta myös muut toimenpiteet, kuten kaapatun käyttäjätunnuksen sulkeminen tai virtuaalikoneen sammuttaminen ovat mahdollisia.

Kaikkien vaiheiden hyödyntäminen ei tietenkään ole pakollista, mutta on suositeltavaa, että käyttöönottomäärityksessä kartoitetaan tarpeet, joihin SIEMillä pyritään vastaamaan sekä selvitetään lokitettavan tiedon tarjoamat mahdollisuudet.

“Mites se maksupuoli?”

Mitä Sentinelin käyttö sitten kustantaa? Tämä luonnollisesti mietityttää kaikkia palvelusta kiinnostuneita ja onkin yksi yleisimmistä kysymyksistä, joita itse kohtaan. Sentinelin kustannukset eivät kuitenkaan ole yksiselitteisiä, joten avataan kaavaa hiukan. Lähtökohtaisesti syntyvät kustannukset laskutetaan ”Pay-As-You-Go” -laskutusmallin mukaisesti, eli täysin käytön määrän mukaan. Kulut lasketaan sisään otettua gigatavua kohden sekä säilytettyjä gigatavuja kohden.

Koska ratkaisu koostuu kahdesta resurssista, Sentinelistä itsestään sekä taustalla toimivasta Log Analyticsistä, tulee molempien käytölle laskea omat hintansa, jotta kokonaishinta voidaan muodostaa. Tämä saattaa kuulostaa monimutkaiselta, mutta hinta voidaan lopulta laskea hyvinkin nopeasti ja tarkasti, jos lokitettavan datan määrästä on arvio.

Kustannusten optimoinnin kannalta onkin tärkeää, että SIEMin kanssa käytettävät datalähteet määritetään tarkkaan eikä sisään lasketa kaikkea mahdollista dataa heti paikalla. Suuret datamäärät syntyvät tyypillisesti palomuureista tai palvelinten lokitiedoista, mutta jos lokituksen kohteena ovat esimerkiksi käyttäjien kirjautumistiedot tai Officesta syntyvä data, voivat bittimäärät jäädä hyvinkin pieniksi, jolloin myös kustannukset ovat tyypillisesti hyvin matalat.

Ei ole ollenkaan poikkeuksellista, että keskisuuren yrityksen käytössä Sentinelin kustannukset ovat muutaman kymmenen euron luokkaa kuukaudelta. On myös hyvä huomioida, että kaiken Sentineliin syötetyn datan säilytys on aina 90 päivää ilmaista tallennushetkestä.

Jos haluat laskea itsellesi kustannusarvion Sentinelin käytöstä, voit selvittää hinnan käsiteltyä gigatavua kohden helposti Microsoftin sivuilta: https://azure.microsoft.com/en-us/pricing/details/azure-sentinel/. 

Jos Sentinelin käyttö alkoi kuulostaa mielenkiintoiselta, suosittelen lämpimästi tutustumaan ratkaisuun. Koska teknisen ympäristön pystytys on nopeaa ja vaivatonta, on esimerkiksi muutaman kuukauden demoaminen mahdollista järjestää helposti kevyillä kustannuksilla. Vastaavasti Sentinel voidaan myös riisua pois käytöstä yhtä nopeasti kuin pystyttääkin.

Meiltä kattavasti apua Sentineliin!

Me Sulavalla olemme toteuttaneet runsaasti Sentinel-käyttöönottoja ja autamme mielellämme sinua mahdollisten kysymystesi kanssa ja ympäristön pystytyksessä. Tarjoamme myös kurssia Sentinelistä, jossa pääset rakentamaan oman SIEM-ympäristön ja tutustumaan tuotteeseen käytännössä. 
Autamme sinua ympäristön käyttöönotossa, hallinnassa ja kehittämisessä, mm. näissä keskeisissä osa-alueissa:

  • Hyvien käytäntöjen mukainen käyttöönotto
  • Kehityssuunnitelmat
  • Raporttien rakentaminen
  • Integraatiot ja automaatiot
  • Hintaoptimointi
  • Hallinnollinen tietoturva

Tutustu Sentineliin webinaarissa

Katso maksuton webinaari syyskulta 2024, jossa syvennymme Microsoft Sentineliin, sen käyttöönoton ja pitkäjänteisen kehittämisen näkökulmista. Käsittelemme parhaita käytäntöjä Sentinelin integroimiseksi Microsoftin XDR-tuotteiden kanssa ja tutustumme Sentinelin viimeisimpiin kehitysaskeliin ja toimintolaajennuksiin.

Katso webinaaritallenne: Välineet modernin tietoturvan rakentamiseen

Moderneihin tietoturvauhkiin ja vaatimuksiin vastaaminen on kiinteä osa riskienhallintaa. Valtavien datamassojen edessä huomaa kuitenkin nopeasti, että tämä edellyttää moderneja työtapoja ja -välineitä. Välineiden avulla mm. suojaudut uhilta ja laajennat käyttäjätietojen suojausta integroidulla ja automatisoidulla suojauksella, jotta voit estää vahingot hyökkäyksen tapahtuessa.

Tilaa maksuton webinaaritallenne, jossa asiantuntijamme käyvät läpi joukon keskeisiä välineitä kuten Microsoft 365 Defender, Microsoft Sentinel ja Azure AD sekä luovat katsauksen lisensseihin.

Lue lisää:

Räätälöityjen sovellusten valvonta Microsoft Sentinelin avulla

Microsoft Defender for Cloud + Sentinel –Kuinka rakennat tulevaisuudenkestävän tietoturvan
SOAR – Ratkaisu pilviympäristöjen turvallisuushaasteisiin
SIEM vs. SOAR, mitä eroa näillä on?