Azure Sentinel: La solución de Microsoft para la gestión de seguridad en entornos cloud

La seguridad de las infraestructuras se ha vuelto cada vez más compleja y el manejo de la seguridad se ha convertido en un problema importante. Las alertas y los registros provienen de muchos sistemas diferentes, en muchos formatos diferentes, y es importante que la información correcta se entregue a la persona adecuada para tomar la decisión correcta y prevenir una brecha de seguridad.

El modelo de información "en el momento adecuado" es crítico y necesita herramientas que puedan reunir todas estas fuentes de información y eventos en un solo lugar. Security Information and Event Management (SIEM) es una parte en rápido crecimiento del mercado de seguridad empresarial, construyendo y entregando paneles de seguridad inteligentes que analizan y priorizan estos mensajes utilizando una combinación de análisis de archivos de registro y aprendizaje automático. En un entorno de amenazas complejas, los centros de datos modernos necesitan un SIEM para funcionar de manera efectiva, junto con sus herramientas de monitoreo de aplicaciones y redes, para ayudar a administrar la respuesta a incidentes y advertencias.

Índice de Contenido
  1. Introduciendo Azure Sentinel
  2. Comenzando con Azure Sentinel
  3. Visualización y análisis de datos de seguridad
  4. Personalización de la seguridad
  5. Usando Azure Sentinel para buscar amenazas

Introduciendo Azure Sentinel

Microsoft lanzó recientemente Azure Sentinel, su enfoque moderno de SIEM. Trabajando en infraestructuras locales y en la nube, se supone que es fácil de configurar, requiere un mantenimiento bajo y es fácil de usar. Al aprovechar la recopilación de datos a escala en la nube y las propias herramientas de detección de amenazas de Microsoft, Azure Sentinel puede automatizar la respuesta mediante la orquestación en todo su entorno. Es un software como servicio, por lo que es escalable y solo paga por los recursos que utiliza.

Quizás la mayor ventaja de Azure Sentinel es su compatibilidad con el gráfico de seguridad de Microsoft, así como con las herramientas probadas dentro de Azure que forman parte de la propia plataforma de análisis de seguridad de Microsoft. El gráfico de seguridad actual procesa millones de señales al día, trabajando en todas las plataformas alojadas en la nube de Microsoft para desarrollar modelos de cómo progresan los ataques, incluso cuando pueden ser amenazas persistentes avanzadas lentas, donde las acciones normalmente se ocultan en el ruido de las operaciones de un centro de datos ocupado.

Comenzando con Azure Sentinel

Comenzar puede ser relatively rápido. Primero, agregue un espacio de trabajo de análisis de registro a su cuenta de Azure. Una vez que esté en funcionamiento, puede habilitar Azure Sentinel desde el Portal de Azure. Debe agregar un espacio de trabajo, que es donde se almacenarán todos los datos asociados con su suscripción. Puede tener varios espacios de trabajo en una cuenta, pero cada espacio de trabajo está aislado.

Una vez que el servicio esté en funcionamiento, su siguiente tarea es configurar conexiones a servicios, aplicaciones y máquinas. Tenga en cuenta que esta no es una herramienta sin agentes, debe instalar el agente Azure Sentinel en todas las máquinas físicas y virtuales que está monitoreando. Las aplicaciones deben proporcionar registros que puedan enviarse a través del conocido servidor de syslog de Linux, que se ejecuta en una máquina virtual con un agente que envía los registros a su espacio de trabajo de Azure Sentinel.

Cómo utilizar la Mac App Store para desplegar Office en macOS

Para los servicios de Azure, el proceso es mucho más fácil. Desde Recopilación de datos, elija el servicio que desea monitorear. Los registros comenzarán a fluir a Azure Sentinel, listos para su análisis. De manera útil, el proceso de conexión proporciona listas de paneles recomendados, para que pueda configurar rápidamente una vista analítica de su infraestructura.

Azure Sentinel: La solución de Microsoft para la gestión de seguridad en entornos cloud - Microsoft | Imagen 1 Newsmatic

Visualización y análisis de datos de seguridad

Una vez que los datos fluyen hacia Azure Sentinel, comenzará a poblar rápidamente sus paneles. Estos combinan las herramientas de seguridad y análisis existentes de Azure con tablas y gráficos. Cualquier incidente se agrupa en casos, reuniendo alertas relacionadas en una sola vista. Al tomar esta enfoque, Azure Sentinel tiene como objetivo reducir la sensación de sobrecarga de información que se obtiene cuando se presentan alertas aparentemente no relacionadas. Los eventos se muestran en un gráfico durante un período de 24 horas, lo que le permite comparar hoy con ayer. Puede profundizar en los casos para comenzar una investigación, con una vista de mapa que muestra la fuente de eventos malintencionados y dónde se extraen los datos exfiltrados.

Los paneles incorporados admiten actividades de Azure, Azure Active Directory y sus servidores locales. Otra información mostrada proviene de aplicaciones, de Office 365 y de hardware y servicios de terceros, incluidos firewalls y otros dispositivos y servicios de seguridad. Por ejemplo, Azure Sentinel ofrece dos paneles de Azure AD diferentes, uno que examina los inicios de sesión y otro que explora sus registros de auditoría. Ambos ofrecen ideas importantes: uno muestra posibles ataques y otro indica cuentas que están moviéndose inesperadamente de grupos o ganando privilegios.

Observar el flujo de datos dentro y fuera de su red puede mostrar rápidamente si ha habido una violación y Azure Sentinel puede señalar los eventos y alertas asociados, con sistemas impulsados por aprendizaje automático que le notifican sobre anomalías operativas que requieren investigación. La detección de anomalías es una función importante que ayuda a identificar nuevos vectores de ataque o exfiltraciones de datos lentas y prolongadas, utilizando modelos desarrollados en Microsoft. Si se detecta una anomalía, debe investigar las actividades en su red en ese período de tiempo.

Azure Sentinel: La solución de Microsoft para la gestión de seguridad en entornos cloud - Microsoft | Imagen 2 Newsmatic

Cómo gestionar dispositivos Android con Microsoft Intune y Microsoft 365

Personalización de la seguridad

Azure Sentinel tiene una herramienta de creación de paneles donde puede agregar sus propias visualizaciones, construyendo consultas y utilizandolas como fuente de gráficos. Las consultas se escriben en el lenguaje de consulta Kusto de Microsoft, por lo que puede utilizar herramientas como Azure Data Explorer para construir y probar nuevas consultas. Como Kusto está diseñado para construir consultas que pueden funcionar en una combinación de datos estructurados y no estructurados, es una herramienta ideal para trabajar con muchos formatos de registro diferentes, reuniéndolos en una sola vista.

Las detecciones adicionales se pueden encontrar en la comunidad de Azure Sentinel en GitHub, y se pueden agregar a nuevas fuentes de datos. Las detecciones se desarrollan dentro de Microsoft y forman la base de las reglas utilizadas por Azure Sentinel para generar alertas. Puede utilizar estas reglas como base para las suyas propias, ajustándolas para admitir nuevas fuentes y nuevos formatos de archivos de registro.

Usando Azure Sentinel para buscar amenazas

Con Azure Sentinel monitoreando sus sistemas, está listo para comenzar a usarlo para buscar amenazas. Con una cantidad considerable de datos para analizar, las consultas y paneles predeterminados no pueden encontrar todo. En su lugar, puede usar "consultas de búsqueda" para explorar por su cuenta, con consultas de muestra para comenzar y un lenguaje de consulta que puede usar para modificar consultas existentes y crear las suyas propias. Los datos interesantes se pueden marcar, lo que le ayuda a construir casos. Las búsquedas se pueden grabar paso a paso en cuadernos, tomando una lección del mundo de la analítica. Los cuadernos de Azure Sentinel se pueden pasar a otros investigadores, reproduciendo las consultas para que puedan ver lo que ha encontrado y cómo lo encontró. El equipo de respuesta a incidentes de Microsoft proporcionará cuadernos adicionales a través de GitHub.

La vista previa de Azure Sentinel actualmente es gratuita (y no tiene un acuerdo de nivel de servicio), aunque deberá pagar algunas características, como Azure Monitor, cualquier personalización de aprendizaje automático y flujos de trabajo mediante Logic Apps, por ejemplo.

Microsoft ha estado construyendo silenciosamente su línea de productos de seguridad y Azure Sentinel es el último de una serie de herramientas que funcionan desde el consumidor hasta la nube. Al aprovechar las habilidades y lecciones de sus propios equipos de seguridad, el resultado es un conjunto de herramientas adecuado para el monitoreo de seguridad diario y la búsqueda activa de amenazas en entornos híbridos locales y en la nube. Será interesante volver a visitar Azure Sentinel cuando conozcamos el modelo de precios final. Hasta entonces, vale la pena echarle un vistazo y ejecutar la prueba podría enseñarte lecciones importantes sobre tu red.

Cómo Microsoft Office se utiliza como una herramienta de desarrollo

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Microsoft, allí encontraras muchos artículos similares a Azure Sentinel: La solución de Microsoft para la gestión de seguridad en entornos cloud , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.