Azure Sentinel

in data

 

Cosa è Azure Sentinel ?

 

Azure Sentil è un servizio Cloud offerto da Microsoft, per aiutare le organizzazioni a difendersi contro i crimini informatici.

Nell’immagine sottostante possiamo notare i “pillar” fondamentali della soluzione che andiamo a descrivere in questo articolo:





·         Raccoglie: Esegue un collect dei log di tutti i dispositivo di tutti gli utenti, e dei server on-premise ed eventualmente anche di software di terze parti

·         Rileva: Eventuali minacce presenti attraverso l’intelligenza Microsoft

·         Analizzare: con l’intelligenza Microsoft attività sospette derivante dal collect dei log

·         Rispondi: rapidamente e attraverso processi di automazione evita la compromissione dei sistemi del cliente

 

Inoltre Azure Sentinel ha più di 200 connettori che gli permettono di adattarsi a tutte le tipologie di software presenti all’interno delle organizzazioni di seguito vengono riportati tutti i principali:

·         ServiceNow

·         Jira

·         Zendesk

·         Richieste HTTP

·         Microsoft Teams

·         Slack

·         Windows Defender ATP

·         Defender for Cloud Apps

 

 

In questo modo gli analisti SOC possono avere un unico strumento che analizza i processi e gli eventi all’interno del cliente e rispondere in modo proattivo alle offens di Security e prevenire eventuali compromissioni degli ambienti on-prem e cloud.

 

Grazie ad Azure Sentinel e all’anlisi proattiva di tutte le sorgenti, è previsto anche avere un grafico che ci permette di visualizzare in tempo reale la sorgente dell’attacco, e questo è di fondamentale importanza, perché grazie a questo è possibile automatizzare il blocco del pc,server o utente che stà eseguendo magari codice malevole, prima che venga espanso ad altre postazioni.

Naturalmente per la rilevazione delle attività malevole, vi sono delle query personalizzate, ma possono essere create delle query personalizzate per andare ad analizzare determinate attività che secondo l’azienda sono di fondamentale importanza.

Di seguito riportiamo i primi due passaggi per “provare” questo, a mio avviso, potentissimo servizio offerto da Microsoft:

·         Per iniziare a usare Microsoft Sentinel, è necessaria una sottoscrizione a Microsoft Azure. Se non si ha una sottoscrizione, è possibile iscriversi per una versione di valutazione gratuita.

·         Informazioni su come eseguire l'onboarding dei dati in Microsoft Sentinel e ottenere visibilità sui dati e sulle potenziali minacce.

 

 

Specifichiamo che il link e le immagini presenti nel seguente articolo sono stati recuperati da www.microsoft.com e sono di loro propietà.