ROI-Azure-Sentinel

Azure Sentinel, o investiție cu randament de 200%

Noutati

Azure Sentinel este prima soluție de tip SIEM lansată de un operator Cloud major. Nu este însă singurul motiv pentru care merită să îi acordați atenție – soluția Microsoft se remarcă și prin accesibilitate, scalabilite și eficiență, precum și prin faptul că asigură economii operaționale substanțiale.

În doar doi ani de la lansare, Azure Sentinel și-a câștigat o poziție solidă pe piața SIEM şi concurează deja de la egal cu soluţii consacrate, principalele avantaje competitive fiind:

  • Accesibilitate – Sentinel este livrat ca serviciu Cloud, în mai multe modele de tarifare („Capacity Reservations“ și „Pay-As-You-Go“) și beneficiază de discount-uri generoase. În plus, oferă numeroase facilități companiilor care utilizează alte soluții Microsoft – de exemplu, până pe 1 mai (2021) clienții Microsoft 365 E5 beneficiază de un grant de 100 MB per utilizator/lună. (Mai multe detalii despre această ofertă aici.) Cloud-ul asigură și scalabilitate și reducerea efortului de mentenanță al soluției SIEM, elemente importante în reducerea costurilor de operare.
  • Compatibilitate extinsă – Sentinel se integrează nativ cu Microsoft 365, Azure AD, Microsoft Defender for Identity, Microsoft Cloud App Security etc. Soluția beneficiază de conectori integrați și pentru aplicații de la alți vendori – precum Baracuda, Check Point, Cisco, Citrix, CyberArk, DNS, F5, Fortinet, Palo Alto, Trend Micro etc. –, dar și cu sevicii Cloud de la alți furnizori, servere etc. Conectarea Sentinel cu alte surse de date se poate realiza și prin Common Event Format (CEF), dar si cu ajutorul agenților Syslog sau al interfețelor REST-API. (Lista completă de soluții compatibile o găsiți aici).
  • Dezvoltarea continuă – Sentinel oferă o paletă completă de funcționalități SIEM, pe care Microsoft o extinde continuu. De exemplu, în septembrie trecut, la Ignite 2020, a anunțat optimizarea funcționalității User and Entity Behavioral Analytics (UEBA), care vine cu o procedură simplificată de adăugare a surselor de date pentru analize comportamentale și cu un Workbook dedicat. La începutul acestui an., Microsoft a anunțat lansarea unui modul PowerShell dedicat (AzSentinel), care permite automatizarea includerii de surse de date, crearii de reguli pentru alerte sau lansarea de căutări pentru depistarea amenințărilor.

Cum funcționează Azure Sentinel

Microsoft a dezvoltat Sentinel astfel încât soluția să răspundă provocărilor cu care se confruntă în prezent departamentele IT și responsabilii cu securitatea:

  • Scalarea automată pentru a îndeplini cerințele de stocare ale companiilor de orice dimensiune.
  • Colectarea informațiilor contextuale pentru investigații, corelarea alertelelor și automatizarea operațiunilor de remediere în mod unificat.
  • Reducerea nevoii de intervenții umane prin automatizarea proceselor de investigare a evenimentelor și răspuns la alerte.
  • Integrarea protecției la nivel endpoint pentru asigurarea protecției timpurii.
  • Dezvoltarea de capabilități avansate de detecție utilizând algoritmi de Machine Learning.
  • Furnizarea de dashboard-uri și interfețe utilizator intuitive.

Azure Sentinel răspunde tuturor acestor nevoi folosind o serie de componente specifice:

Analytics

permite crearea de alerte specifice (folosind KQL) și corelarea acestora cu Playbooks pentru aplicarea automată de măsuri de remediere. Sentinel vine cu mai mult de 100 de reguli presetate – dar care pot fi personalizate – și care servesc pentru detectarea anomalilor.

Cases (sau Incidents)

agregări de date relevante pentru un incident specific; conține una sau mai multe alerte bazate pe regulile de analiză definite;

Hunting

instrument de investigare și analiză proactivă a evenimentelor, care utilizează Kusto Query Language (KQL).

Notebooks

capabilități avansate de Machine Learning, prin integrarea cu Jupyter Notebooks. Sentinel „învață“ singură prin analiza automată a peste 6,5 trilioane de semnale de securitate informatice captate zilnic de cloud-ul Microsoft, dar permite companiilor să își creeze și propriile modele ML pentru analiza avansată a datelor.

Threat Intelligence

Sentinel se integrează prin intermediul conectorilor cu mai multe servicii de tip Security Intelligence care furnizează informații despre amenințări, URL-uri malițioase, modele de atac etc.

Playbooks

colecții de proceduri care pot fi executate automat atunci când este confirmată o alertă. Playbooks folosesc aplicațiile Azure Logic, care ajută la automatizarea și orchestrarea operațiunilor și  fluxurilor de lucru.

Workspace

containere hostate în Azure Log Analytics în care Sentinel stochează date și informații de configurare colectate din diferite surse.

Performanță validată

În Noiembrie 2020, compania de analiză Forrester Research a realizat o analiză a impactului economic pe care îl are utilizarea Azure Sentinel într-o organizație, pe durata a trei ani. Rezultatele sunt remarcabile, având în vedere că este o soluție SIEM recent intrată pe piață:

  • Reducerea efortului operațional de investigare a evenimentelor reale de securitate cu 80% (prin scăderea alertelor fals pozitive cu până la 79%);
  • Un cost total – incluzând cele cu licențierea, stocarea și infrastructura – cu 48% mai mic decât cel al unei soluții SIEM tradiționale;
  • Scăderea efortului de management cu până la 56%;
  • Darea în folosință cu până la 67% mai repede, prin utilizarea regulilor și operațiunilor predefinite și a funcționalităților out-of-the box.

Toate aceste câștiguri asigură, potrivit analiștilor Forrester, amortizarea investiției în Azure Sentinel în mai puțin de șase luni și obținerea unui ROI de 201%.

Dacă doriți mai multe detalii despre avantajele competitive ale Azure Sentinel specialiștii Dendrio vă stau la dispoziție.

Meniu