19.5.2022 • Tietoturva
Microsoft Defender for Cloud + Sentinel –Kuinka rakennat tulevaisuudenkestävän tietoturvan
Nyt jos joskus on hetki päivittää organisaation tietoturva valmiiksi myös tulevaisuuden haasteille. Tässä artikkelissa käsitellään, kuinka rakennamme tulevaisuudenkestävän tietoturvan yhdistämällä Microsoft Defender for Cloudin ja Microsoft Sentinelin ominaisuudet.
Microsoftin monipuoliset tietoturvatyökalut ovat valmiita niin tämän päivän kuin huomisenkin uhkille, siksi Sulavalla olemme niiden parissa työskennelleet jo pitkään. Microsoft yhdisti Azure Security Center:in ja Azure Defenderin uudeksi Microsoft Defender for Cloud:iksi jokin aika sitten, sillä tämä nimi heijastaa tuotteen ominaisuuksien laajuutta tarkemmin. Tuote ei ollut vain hallintapaneeli Azuren resurssien tietoturvailmoituksille, vaan kokonaisvaltainen tuote koko pilvi-infrastruktuurin tietoturvan ylläpitoon.
Defender for Cloud:in monet ominaisuudet, kuten Secure Score tarjoavat nopean katsauksen organisaation pilviresurssien tietoturvan tilaan, jopa ilman mitään lisämaksua. Lisäksi tuote tarjoaa tuen myös hybridiympäristöistä löytyvien, omissa konesaleissa sijaitsevien palvelinten tietoturvan tilan seuraamiseen ja ylläpitoon.
Microsoft Sentinel on puolestaan Azureen rakennettu pilvipohjainen SIEM/SOAR-ratkaisu, josta olemme paljon kirjoittaneet aikaisemminkin. Sentinelin erikoisosaamista on monien datapisteiden lokitietojen vetäminen yhteen ja siitä johtopäätösten tekeminen. Sentinel ei keskity vain yhteen resurssityyppiin tai osa-alueeseen, vaan pystyy tunnistamaan ja reagoimaan laajasti ympäri organisaatiota tapahtuviin hyökkäyksiin, jotka eivät näytä huolestuttavalta yhtä laitetta tutkiessa. Nämä reagoinnit eli SOAR-ominaisuudet ovat helposti automatisoitavissa, joka nopeuttaa reaktioaikaa uhkiin, pysäyttäen ne nopeammin kuin ihminen.
Korvaako Sentinel siis Defender for Cloud:in täysin? Ei niinkään, sillä palvelut tukevat toinen toisiaan. Siinä missä Sentinel helpottaa organisaation päivittäisen tietoturvan hallinnassa sekä hälytysten tutkimisessa, Defender for Cloud tarjoaa paremmat työkalut ympäristön oikeaoppiseen konfigurointiin ja rakentamiseen. Sentinel ei puolestaan ota kantaa konfiguraatioihin, eikä suosittele korjauksia asetuksiin, toisin kuin Defender for Cloud, joka nostaa esille nämä ongelmat jo heti ympäristön käyttöönoton yhteydessä. Sentinel ei myöskään sisällä joitain Defender for Cloud:in hyödyllisiä ominaisuuksia, kuten esimerkiksi EDR (Endpoint Detection and Response) -toiminnallisuutta.
Miksi näiden yhdistäminen kannattaa?
Sentinel on monissa organisaatioissa jo käyttöönotettuna varsinkin Azure Active Directoryn ja muun Microsoft 365 -ympäristön tietoturvahälytysten hallintaan ja tutkimiseen. Välillä kuitenkin unohtuu, että Sentineliin voidaan yhdistää myös pilvipalveluiden tietoturvaa seuraavia järjestelmiä, kuten Defender for Cloud. Parhaiten tämä toimii tietysti Azure-ympäristön kanssa, jossa suojan alle mahtuvat kaikki resurssit, mutta yksinkertaisempaa palvelimien suojausta Defender for Cloud tarjoaa myös muissakin pilvipalveluissa, ei ainoastaan Azuressa.
Näiden kahden yhdistäminen kannattaa, sillä se tarjoaa organisaatiolle tietoturvan hallintaan selkeyttä ja helppoutta. Sentinelin hallintapaneelista yhdistämisen jälkeen löytää Defender for Cloud:in hälytykset muiden ympäristön hälytysten joukosta, eikä niitä tarvitse enää käydä tarkistamassa eri paneelista. Sentinelin playbookit tekevät automaatioista tehokkaampia ja helpommin ylläpidettäviä, joiden avulla hyökkäykset voidaan pysäyttää ennätysajassa. Defender for Cloud yhdessä Sentinelin ja Microsoftin muiden tietoturva-tuotteiden kanssa tarjoaa alan johtavat XDR (Extended Detection and Response) -toiminnallisuudet organisaation tietoturvan hallinnointiin ja ylläpitoon.
Näiden työkalujen täysimittainen ja tehokas käyttäminen vaatii kuitenkin organisaatiolta resursseja muun muassa Sentinelin raporttien läpikäymiseen sekä hälytysten selvittämiseen. Tietoturva-asioita ei voida enää vuonna 2022 lakaista maton alle, joten kannattaa tutustua myös Sulavan SOC-palveluun, joka on rakennettu juuri Microsoft Sentinelin päälle. Sentinelin käyttö mahdollistaa SOC-palvelun ketteryyden ja matalat operatiiviset kulut, jonka takia se onkin ollut helppo lisä monien organisaatioiden tietoturvaan.
Me Sulavalla olemme toteuttaneet runsaasti Sentinel-käyttöönottoja ja autamme mielellämme sinua mahdollisten kysymystesi kanssa ja ympäristön pystytyksessä. Lue esimerkiksi Helsingin kaupungin Kaskon kokemuksista.
Tarjoamme myös päivän kestävää kurssia Sentinelistä, jossa pääset rakentamaan oman SIEM-ympäristön ja tutustumaan tuotteeseen käytännössä.
Ota rohkeasti yhteyttä ja ala hyödyntämään pilven tuomaa turvaa omassa ympäristössäsi!
Katso webinaaritallenne: Välineet modernin tietoturvan rakentamiseen
Moderneihin tietoturvauhkiin ja vaatimuksiin vastaaminen on kiinteä osa riskienhallintaa. Valtavien datamassojen edessä huomaa kuitenkin nopeasti, että tämä edellyttää moderneja työtapoja ja -välineitä. Välineiden avulla mm. suojaudut uhilta ja laajennat käyttäjätietojen suojausta integroidulla ja automatisoidulla suojauksella, jotta voit estää vahingot hyökkäyksen tapahtuessa.
Tilaa maksuton webinaaritallenne, jossa asiantuntijamme käyvät läpi joukon keskeisiä välineitä kuten Microsoft 365 Defender, Microsoft Sentinel ja Azure AD sekä luovat katsauksen lisensseihin.
Lue lisää:
Miten pilvipohjainen Microsoft Sentinel SIEM -ratkaisu toimii?
SOAR – Ratkaisu pilviympäristöjen turvallisuushaasteisiin
SIEM vs. SOAR, mitä eroa näillä on?
Miska Kytö
Consulting & Training
Miska työskentelee muun muassa tietoturvapalveluiden, tekoälyn, modernin työn sekä Metaverse-ratkaisujen parissa. Hän on Microsoft MVP (Most Valuable Professional).