Az - Defender

Reading time: 9 minutes

Microsoft Sentinel

Microsoft Sentinel è una soluzione SIEM (Security Information and Event Management) e SOAR (Security Orchestration, Automation, and Response) nativa del cloud su Azure​.

Aggrega i dati di sicurezza da tutta l'organizzazione (on-premises e cloud) in un'unica piattaforma e utilizza analisi integrate e intelligence sulle minacce per identificare potenziali minacce​. Sentinel sfrutta i servizi di Azure come Log Analytics (per l'archiviazione e la query di log massivi) e Logic Apps (per flussi di lavoro automatizzati) – questo significa che può scalare su richiesta e integrarsi con le capacità di intelligenza artificiale e automazione di Azure​.

In sostanza, Sentinel raccoglie e analizza i log da varie fonti, rileva anomalie o attività malevole, e consente ai team di sicurezza di indagare e rispondere rapidamente alle minacce, tutto attraverso il portale di Azure senza necessità di infrastruttura SIEM on-premises​.

Configurazione di Microsoft Sentinel

Inizi abilitando Sentinel su uno spazio di lavoro di Azure Log Analytics (lo spazio di lavoro è dove i log saranno archiviati e analizzati). Di seguito sono riportati i passaggi principali per iniziare:

1. Abilita Microsoft Sentinel su uno Spazio di Lavoro: Nel portale di Azure, crea o utilizza uno spazio di lavoro Log Analytics esistente e aggiungi Microsoft Sentinel. Questo distribuisce le capacità di Sentinel al tuo spazio di lavoro.
2. Collega le Fonti di Dati (Data Connectors): Una volta abilitato Sentinel, collega le tue fonti di dati utilizzando i connettori di dati integrati. Che si tratti di log di Entra ID, Office 365 o anche log di firewall, Sentinel inizia a ingerire log e avvisi automaticamente. Questo viene comunemente fatto creando impostazioni diagnostiche per inviare log nello spazio di lavoro dei log in uso.
3. Applica Regole e Contenuti Analitici: Con i dati che fluiscono, abilita le regole analitiche integrate o creane di personalizzate per rilevare minacce. Usa il Content Hub per modelli di regole preconfezionati e workbook che avviano le tue capacità di rilevamento.
4. (Opzionale) Configura l'Automazione: Imposta l'automazione con playbook per rispondere automaticamente agli incidenti—come inviare avvisi o isolare account compromessi—migliorando la tua risposta complessiva.

Caratteristiche Principali

• Log: La scheda Log apre l'interfaccia di query di Log Analytics, dove puoi immergerti profondamente nei tuoi dati utilizzando Kusto Query Language (KQL). Quest'area è cruciale per la risoluzione dei problemi, l'analisi forense e la reportistica personalizzata. Puoi scrivere ed eseguire query per filtrare eventi di log, correlare dati da diverse fonti e persino creare dashboard o avvisi personalizzati basati sui tuoi risultati. È il centro di esplorazione dei dati grezzi di Sentinel.
• Ricerca: Lo strumento di Ricerca offre un'interfaccia unificata per localizzare rapidamente eventi di sicurezza, incidenti e persino voci di log specifiche. Piuttosto che navigare manualmente attraverso più schede, puoi digitare parole chiave, indirizzi IP o nomi utente per richiamare istantaneamente tutti gli eventi correlati. Questa funzione è particolarmente utile durante un'indagine quando hai bisogno di collegare rapidamente diversi pezzi di informazione.
• Incidenti: La sezione Incidenti centralizza tutti gli avvisi raggruppati in casi gestibili. Sentinel aggrega avvisi correlati in un singolo incidente, fornendo contesto come gravità, cronologia e risorse interessate. All'interno di un incidente, puoi visualizzare un grafico di indagine dettagliato che mappa la relazione tra gli avvisi, rendendo più facile comprendere l'ambito e l'impatto di una potenziale minaccia. La gestione degli incidenti include anche opzioni per assegnare compiti, aggiornare stati e integrarsi con flussi di lavoro di risposta.
• Workbook: I workbook sono dashboard e report personalizzabili che aiutano a visualizzare e analizzare i tuoi dati di sicurezza. Combinano vari grafici, tabelle e query per offrire una visione completa di tendenze e modelli. Ad esempio, potresti utilizzare un workbook per visualizzare una cronologia delle attività di accesso, una mappatura geografica degli indirizzi IP o la frequenza di avvisi specifici nel tempo. I workbook sono sia pre-costruiti che completamente personalizzabili per soddisfare le esigenze di monitoraggio specifiche della tua organizzazione.
• Hunting: La funzione Hunting fornisce un approccio proattivo per trovare minacce che potrebbero non aver attivato avvisi standard. Viene fornita con query di hunting pre-costruite che si allineano a framework come MITRE ATT&CK, ma consente anche di scrivere query personalizzate. Questo strumento è ideale per analisti avanzati che cercano di scoprire minacce furtive o emergenti esplorando dati storici e in tempo reale, come schemi di rete insoliti o comportamenti anomali degli utenti.
• Notebooks: Con l'integrazione dei Notebooks, Sentinel sfrutta Jupyter Notebooks per analisi avanzate dei dati e indagini automatizzate. Questa funzione consente di eseguire codice Python direttamente sui dati di Sentinel, rendendo possibile eseguire analisi di machine learning, costruire visualizzazioni personalizzate o automatizzare compiti investigativi complessi. È particolarmente utile per scienziati dei dati o analisti di sicurezza che necessitano di condurre analisi approfondite oltre le query standard.
• Comportamento dell'Entità: La pagina Comportamento dell'Entità utilizza User and Entity Behavior Analytics (UEBA) per stabilire baseline per l'attività normale nel tuo ambiente. Mostra profili dettagliati per utenti, dispositivi e indirizzi IP, evidenziando le deviazioni dal comportamento tipico. Ad esempio, se un account normalmente a bassa attività mostra improvvisamente trasferimenti di dati ad alto volume, questa deviazione verrà segnalata. Questo strumento è fondamentale per identificare minacce interne o credenziali compromesse basate su anomalie comportamentali.
• Intelligence sulle Minacce: La sezione Intelligence sulle Minacce consente di gestire e correlare indicatori di minaccia esterni—come indirizzi IP malevoli, URL o hash di file—con i tuoi dati interni. Integrando feed di intelligence esterni, Sentinel può automaticamente segnalare eventi che corrispondono a minacce note. Questo ti aiuta a rilevare e rispondere rapidamente ad attacchi che fanno parte di campagne più ampie e note, aggiungendo un ulteriore livello di contesto ai tuoi avvisi di sicurezza.
• MITRE ATT&CK: Nella scheda MITRE ATT&CK, Sentinel mappa i tuoi dati di sicurezza e le regole di rilevamento al riconosciuto framework MITRE ATT&CK. Questa vista ti aiuta a comprendere quali tattiche e tecniche vengono osservate nel tuo ambiente, identificare potenziali lacune nella copertura e allineare la tua strategia di rilevamento con modelli di attacco riconosciuti. Fornisce un modo strutturato per analizzare come gli avversari potrebbero attaccare il tuo ambiente e aiuta a dare priorità alle azioni difensive.
• Content Hub: Il Content Hub è un repository centralizzato di soluzioni preconfezionate, inclusi connettori di dati, regole analitiche, workbook e playbook. Queste soluzioni sono progettate per accelerare la tua distribuzione e migliorare la tua postura di sicurezza fornendo configurazioni delle migliori pratiche per servizi comuni (come Office 365, Entra ID, ecc.). Puoi sfogliare, installare e aggiornare questi pacchetti di contenuti, rendendo più facile integrare nuove tecnologie in Sentinel senza una configurazione manuale estesa.
• Repositories: La funzione Repositories (attualmente in anteprima) consente il controllo delle versioni per i tuoi contenuti di Sentinel. Si integra con sistemi di controllo del codice sorgente come GitHub o Azure DevOps, consentendoti di gestire le tue regole analitiche, workbook, playbook e altre configurazioni come codice. Questo approccio non solo migliora la gestione delle modifiche e la collaborazione, ma rende anche più facile tornare a versioni precedenti se necessario.
• Gestione dello Spazio di Lavoro: Il gestore dello Spazio di Lavoro di Microsoft Sentinel consente agli utenti di gestire centralmente più spazi di lavoro Microsoft Sentinel all'interno di uno o più tenant di Azure. Lo spazio di lavoro centrale (con il gestore dello Spazio di Lavoro abilitato) può consolidare gli elementi di contenuto da pubblicare su larga scala negli spazi di lavoro membri.
• Data Connectors: La pagina Data Connectors elenca tutti i connettori disponibili che portano dati in Sentinel. Ogni connettore è pre-configurato per fonti di dati specifiche (sia Microsoft che di terze parti) e mostra il suo stato di connessione. Configurare un connettore di dati richiede tipicamente pochi clic, dopo di che Sentinel inizia a ingerire e analizzare i log da quella fonte. Quest'area è vitale perché la qualità e l'ampiezza del tuo monitoraggio della sicurezza dipendono dalla gamma e dalla configurazione delle tue fonti di dati collegate.
• Analisi: Nella scheda Analisi, crei e gestisci le regole di rilevamento che alimentano gli avvisi di Sentinel. Queste regole sono essenzialmente query che vengono eseguite su un programma (o quasi in tempo reale) per identificare schemi sospetti o violazioni di soglia nei tuoi dati di log. Puoi scegliere tra modelli integrati forniti da Microsoft o creare le tue regole personalizzate utilizzando KQL. Le regole analitiche determinano come e quando vengono generati gli avvisi, influenzando direttamente come vengono formati e prioritizzati gli incidenti.
• Watchlist: La watchlist di Microsoft Sentinel consente la raccolta di dati da fonti di dati esterne per la correlazione con gli eventi nel tuo ambiente Microsoft Sentinel. Una volta creata, sfrutta le watchlist nella tua ricerca, nelle regole di rilevamento, nel threat hunting, nei workbook e nei playbook di risposta.
• Automazione: Le regole di automazione ti consentono di gestire centralmente tutta l'automazione della gestione degli incidenti. Le regole di automazione semplificano l'uso dell'automazione in Microsoft Sentinel e ti consentono di semplificare flussi di lavoro complessi per i tuoi processi di orchestrazione degli incidenti.