SmartIT
Smart enough for Azure: Ist Azure Sentinel nur ein neues Dashboard?

Mittwoch, 3. Juli 2019 - Patrick Fontana

Smart enough for Azure: Ist Azure Sentinel nur ein neues Dashboard?

Mit Azure Sentinel bietet Microsoft auf Azure einen neuen Service im Bereich Identity und Security an, welcher alle Security und Monitoring Features in den Schatten stellen soll. Doch wozu dient diese Funktion wirklich? Ist sie die erhoffte Konsolidierung und Erlösung oder nur eine weitere Übersichtsseite?
In den 90er Jahren gelangten langsam die ersten mystery und SciFi Serien aus Hollywood in das Schweizer Fernsehprogram, eine davon hiess «Der Sentinel – Im Auge des Jägers». Ein Polizist mit übernatürlichen Wahrnehmungen und Reflexen schafft Ordnung im Chaos der Grossstadt. Nimmt man diese Serienbeschreibung und den Funktionsumfang von Azure Sentinel, so könnte man schon das Gefühl haben, dass ein neuer Superservice am Azure Himmel aufgegangen ist. Wenn wir den neusten Service im Public Preview ein bisschen genauer unter die Lupe nehmen, merken wir relativ schnell, dass der auf Deutsch sogenannte «Wächter» tatsächlich eine konsequente Weiterentwicklung und Erweiterung zu den bestehenden Azure Security Produkte ist, welcher sehr viel mit der Serie von 1996 gemein hat.

Der Sentinel hört, sieht, riecht, schmeckt und fühlt besser
Was macht dieses Produkt denn aus, wenn wir nur von einer Weiterentwicklung sprechen? Im Vergleich zum Sentinel aus dem Fernsehen, kann man die Fähigkeiten des Azure Sentinel mit den folgende vier Fähigkeiten beschreiben:
MonitorConnector
Azure Sentinel kann alle Log- und Monitoring-Daten von Geräten (sowohl in der Cloud, als auch on prem), Benutzern, Anwendungen und Infrastrukturen über die Verbindung des Azure Monitors und der Integration eines Log Analytics Workspace vereinen. Bis zu diesem Punkt ist das keine Revolution. Was jedoch dazu kommt sind die bereitgestellten Connectoren zu andere Cloud Systemen (Google und AWS), zu Firewall Anbietern (z.B. Cisco, Checkpoint oder Fortinet) aber auch zu SaaS Services wie Office365, Advanced Threat Protection oder Azure Inforamtions Protection. Die Standardisierung dieser Connectoren vereinfacht das Zusammenführen von Analyse Daten erheblich und wodurch der Sentinel besser, tiefer in die Infrastruktur hineinsehen kann, was der gesamten Systemumgebung zugutekommt.

DefenceHunting
Weil er einen direkten Link zum CyberDefence Center von Microsoft hat kennt der Sentinel die aktuelle Bedrohungslage und explizite Angriffsvektoren, die er seinen Monitoring Daten gegenüberstellen kann. Dadurch gelingt ihm ein besseres «Riechen» potentieller Gefahren. Ein optimiertes Aufspüren bestimmter Events und Aktionen kann mit der «Hunting»-Funktion direkt aus dem Sentinel veranlasst werden.

AnalysingAI
Damit der Sentinel nicht nur ein weiteres Dashboard ist, werden mithilfe der Cognitive und KI Services verdächtige Events automatisch untersucht und auf deren Rootcause überprüft. Dabei steht wieder das geballte Wissen der Microsoft Cloud zusammen mit den Tonnen von Telemetry und AI Daten, welche von Microsoft automatisch bereitgestellt werden, zur freien Verfügung. So können sich Verantwortliche wirklich auf die Auswertung und Reaktion auf Ereignisse konzentrieren.

/uploads/unternehmen/news/SmartIT-Blogbeitrg-Smart-enough-for-Azure-Sentinel-Workflow.png
Im Gegensatz zum normalen Log Analytics Workspace, können im Azure Sentinel direkte «LogicApp»-Workflows als Effektorern angegeben werden. So werden vordefinierte Aktionen (nicht nur Alarme, sondern auch Scripts, Task etc.) automatisch beim Eintreffen eines Ereignisses ausgelöst. Dadurch sieht es aus, als ob der Sentinel «fühlen» könnte, wo der Schuh am meisten drückt. Durch die Automatisierung der in der gesamten Cloud Infrastruktur (egal ob Azure, AWS oder Google) wird der Sentinel zum wahrhaften Wächter über meine Infrastruktur.


Wird der Sentinel nur oberflächlich betrachtet, wirkt es als ob sich die Zeitinvestitionen oder die Kosten in diesen Service nicht lohnen. Schaut man jedoch genauer hin, merkt man, dass der Sentinel nicht nur ein neues Tool ist, sondern für Infrastruktur Spezialisten die nötige Unterstützung bietet, welche im Azure Bereich dringend benötigt wird. Alle anderen Integrationen und Azure Tools werden durch den Sentinel nicht überflüssig. Security Center zum Beispiel wird weiterhin aktiv genutzt, da Sentinel diese Informationsquelle einfach angezapft und keine Konfigurationsbefugnisse für die verbundenen Services (Advanced Threath Analytics oder CloudApp Security) hat. So werden bestehende Konfigurationen und Investitionen geschützt. 

Public Prewiev für alle verfügbar
Azure Sentinel ist seit Mitte Mai auf jedem Azure Tenant verfügbar und kann integriert, sowie bis zum Ende der Preview Phase kostenlos genutzt werden. Die späteren Kosten des Wächters sind im Moment noch nicht bekannt. Eine effektive Integration muss geprüft und konzipiert werden. Ausserdem sollten die Zugriffe richtig geregelt werden, da dieses Single-Point-of-Glas mit allen seinen Informationen auch ein möglicher Angriffspunkt in der Cloud ist.

Wie lange haben wir im Azure Umfeld auf so einen intelligenten Assistenten gewartet. Wann werden sie vom Kontrolleur zum Wächter? Wir unterstützen Sie gerne bei der Integration von Azure Services in Ihre Infrastruktur.

Beitrag teilen

Unsere Autoren

.
Florian Amport
_Beiträge anzeigen
.
Dominic Augstburger
_Beiträge anzeigen
.
Mirjam Banholzer
_Beiträge anzeigen
.
David Birrer
_Beiträge anzeigen
.
Hansruedi Brunner
_Beiträge anzeigen
.
Patrick Buser
_Beiträge anzeigen
.
Adrian Dolder
_Beiträge anzeigen
.
Patrick Fontana
_Beiträge anzeigen
.
Sara Fuchser
_Beiträge anzeigen
.
Fabrizio Gobeli
_Beiträge anzeigen
.
Patrick Grau
_Beiträge anzeigen
.
Tanja Herzog
_Beiträge anzeigen
.
Phil Kiener
_Beiträge anzeigen
.
Jonas Leu
_Beiträge anzeigen
.
Andreas Moser
_Beiträge anzeigen
.
Fabian Müller
_Beiträge anzeigen
.
Daniel Rentsch
_Beiträge anzeigen
.
Lars Rizzi
_Beiträge anzeigen
.
Remo Rüedi
_Beiträge anzeigen
.
Michael Schäublin
_Beiträge anzeigen
.
Stefan Schiffmann
_Beiträge anzeigen
.
Marco Strazzini
_Beiträge anzeigen
.
Alexander Tschanz
_Beiträge anzeigen
.
Roberto Valentini
_Beiträge anzeigen
.
Christoph von Siebenthal
_Beiträge anzeigen
.
Sarah Winiger
_Beiträge anzeigen
.
Burak Zendeli
_Beiträge anzeigen

Die neusten Beiträge

Mittwoch, 17. Februar 2021
Was sind sichere E-Mails?
_Beitrag anzeigen
Donnerstag, 11. Februar 2021
Parato: Was ist das und wieso sind wir dabei?
_Beitrag anzeigen
Dienstag, 22. Dezember 2020
Managed Infrastructure Services
_Beitrag anzeigen
Donnerstag, 19. November 2020
Highlight der Microsoft Ignite 2020 / Microsoft Tech Trends 2021
_Beitrag anzeigen
Dienstag, 10. November 2020
Digitalisierung fürs Schweizer KMU – alles aus einer Hand!
_Beitrag anzeigen

Ihre Suchresultate

schliessen