Azure Sentinel este o platformă SIEM matură care poate fi integrată cu numeroase soluții și servicii Cloud non-Microsoft. Primul loc în topul compatibilității revine însă soluțiilor Cisco, care, cu 14 produse, devansează orice alt vendor.
Platformele SIEM nu funcționează izolat, rolul acestora fiind agregarea datelor din diferite surse – soluții de securitate, alte tipuri de aplicații, servere, routere, stații de lucru etc. După colectare, datele sunt corelate și îmbogățite cu informații contextuale pentru a ajuta departamentele IT să detecteze și răspundă în timp util la amenințările de securitate.
Azure Sentinel nu face excepție de la regulă și permite integrarea cu o gamă largă de soluții, atât proprii, cât și de alți vendori. Majoritatea surselor de date din Cloud și a soluțiilor Microsoft pot fi conectate direct. Pentru cele care nu beneficiază de compatibilitate nativă, platforma SIEM utilizează conectori personalizați, dezvoltați cu ajutorul serviciului Azure Logic Apps, ale motorului Open Source Logstash sau al API-urilor de colectare a datelor.
SIEM-ul Microsoft folosește însă și alte metode de conectare la surse. De exemplu, pentru colectarea de date de pe servere și stații de lucru, Sentinel folosește agentul Azure Log Analytics (cunoscut și ca Microsoft Monitoring Agent – MMA), care oferă suport atât pentru mașinile care rulează sub Windows, cât și Linux. (Agentul poate fi instalat manual sau provizionat prin extensiile Microsoft VM.)
Alte două metode de conectare utilizate pe scară largă sunt protocolul Syslog, folosit de majoritatea router-elor, switch-urilor și firewall-urilor, precum și standardul de interoperabilitate Common Event Format (CEF). Cu ajutorul Syslog și CEF, Sentinel colectează date de logare și despre diferite tipuri de evenimente de la numeroase echipamente și aplicații.
Cisco, primul loc în topul compatibilității
Microsoft extinde permanent lista soluțiilor compatibile cu Azure Sentinel, pe aceasta aflându-se deja soluții de la Aruba, Checkpoint, CyberArk, F5, Fortinet, IBM, Juniper, McAfee, NetApp, Okta, Palo Alto, Postgress, Qualys, RedHat, SAP, Symantec, Zoom etc., precum și servicii cloud livrate de Amazon, Google și Oracle. (Lista completă o puteți accesa aici.)
Primul loc în topul compatibilității revine însă soluțiilor Cisco, care cu 14 produse devansează orice alt vendor. (Următorii clasați ca număr de soluții sunt Symantec și Palo Alto, cu câte 6.)
Lista produselor Cisco ce pot fi folosite ca surse de date pentru platforma SIEM de la Microsoft include:
• Secure Access Control System (ACS)
• Adaptive Security Appliance (ASA)
• Cloud Security Gateway (CWS)
• Firepower Threat Defense (FTD)
• Identity Service Engine (ISE)
• Web Security Appliances (WSA)
• Meraki
• eStreamer
• FireSIGHT
• IronPort Web Security Appliance
• Nexus
• Umbrella
• Viptela SD-WAN
• Unified Computing System (UCS este cel mai nou produs Cisco, adaugat in ianuarie a.c.)
La acestea se adaugă soluțiile Duo Security, companie achiziționată de Cisco în 2018 și care își comercializează produsele sub brand-ul propriu.
Majoritatea aplicațiilor Cisco folosesc Syslog și CEF pentru integrarea cu Sentinel, excepție făcând Umbrella, care beneficiază de un conector personalizat.
Mai mult decât o simplă integrare
După cum se poate vedea, portofoliul de produse Cisco compatibile cu SIEM-ul Microsoft cuprinde o gamă variată de soluții, care include de la firewall-uri de nouă generație (ASA, Firepower), suite avansate de protecție DNS (Umbrella), sisteme de control acces (ISE), până la aplicații de autentificare mulți-factor (Duo), servere UCS și soluții de rețea Meraki.
Oportunitățile asigurate prin integrarea cu soluțiile Cisco sunt consistente. De exemplu, integrarea cu Cisco ISE permite valorificarea capacităților avansate pe care Sentinel le are pe zona de Security Orchestration and Automation (SOAR), respectiv pentru automatizarea măsurilor de răspuns la incidente. De exemplu, atunci când SIEM-ul Microsoft depistează că echipamentul unui utilizator final este compromis, platforma poate aplica automat (pe baza regulilor definite în Playbooks) blocarea accesului acestuia la resursele companiei sau trecerea lui într-o zonă de carantină cu ajutorul Cisco ISE.
Atingerea unui astfel nivel de automatizare nu este însă un demers facil. Chiar dacă Microsoft încearcă să simplifice cât mai mult procesul de adăugare de surse în platforma SIEM, exploatarea oportunităților pe care le oferă integrarea dintre soluțiile Cisco și Azure Sentinel necesită know-how avansat în domeniul securității informatice și în tehnologii de la vendori diferiți. În cazul în care aceste cerințe depășesc competențele tehnice pe care le dețineți intern, specialiștii Dendrio vă stau la dispoziție.
Vă putem ajuta să testați platforma Azure Sentinel, să o integrați cu soluțiile deja existente în infrastructura companiei și să configurați reguli și politici de securitate care să vă asigure un nivel superior de protecție, ținând costurile sub control și fără a vă supraîncărca echipa IT. Mai multe detalii despre câștigurile și economiile pe care le puteți obține cu Azure Sentinel puteți citi aici.
