Azure Sentinel: introduzione al SIEM Microsoft

Microsoft Azure Sentinel

Con l’esplosione del cloud, Microsoft si è trovata a dover introdurre nuove soluzioni per venire incontro alle necessità degli utenti e per essere pronta ad eventuali switch-off del mondo on-premises. Questa corsa, in alcuni casi, ha prodotto molta confusione e soluzioni in sovrapposizione gli uni con gli altri.

Malgrado però i tanti rilasci fatti, uno dei prodotti che è sempre mancato nel paniere di Microsoft è un SIEM. All’anagrafe, il suo acronimo sta per Security Information and Event Manager, ovvero una piattaforma che permette di collezionare dati da più fonti per esporre a sua volta risultati facili da essere consultati da parte degli utenti.

Fino ad un po’ di tempo fa questa cosa era demandata a Log Analytics, che però era a sua volta un’evoluzione di Operations Management Suite (OMS) quello che doveva essere il sostituto di System Center Operations Manager, pensato con una logica e diventato tutt’altro. Il problema di LA non è tanto la sua logica di collezionamento dati, quanto una certa complessità nell’interfacciamento con prodotti di terze parti, oltre alla poca praticità nella gestione degli alert da scatenare in caso di un evento.

Per risolvere questa problematica, oltre a quanto descritto in precedenza, ecco che Microsoft ha deciso di rilasciare un nuovo prodotto chiamato Azure Sentinel.

Cos’è Azure Sentinel

Come detto in precedenza, Sentinel è una piattaforma SIEM cloud-based che permette di collezionare informazioni ed esporle al mondo esterno in modo facile, creando anche alert e dashboard capaci di mostrare lo stato di un determinato workload a colpo d’occhio.

Il rilascio di Sentinel è figlio anche del fatto che è necessario avere una soluzione capace di interfacciarsi con prodotti di terze parti, in modo più semplice di quanto non avesse fatto Log Analytics fino ad oggi. La parola chiave è integrazione e convergenza.

Log Analytics

Se qualcuno stesse pensando all’idea che Azure Sentinel rimpiazzerà Log Analytics, si sbaglia perché il motore di collezionamento rimarrà sempre quest’ultimo mentre è molto probabile che nel medio periodo spariranno le classiche dashboard presenti, per avere solo la possibilità di effettuare query testuali, lasciando a Sentinel la parte grafica.

Configurazione Sentinel

Per poter configurare il servizio su Azure, è necessario partire dall’idea che ci servono due cose:

  • Un Workspace Log Analytics
  • Un Azure Automation Account

Smarcati questi requisiti, potremo procedere con la configurazione, iniziando dalla ricerca del prodotto attraverso la barra di ricerca posta nella parte superiore del portale Azure.

Una volta selezionato Azure Sentinel, comparirà una finestra che mostrerà la richiesta di attivazione – figura 2.

Come detto in precedenza, uno dei requisiti è la presenza di un workspace Log Analytics che dovrà essere selezionato o creato da zero – figura 3.

Dopo qualche minuto, sarete pronti a poter configurare la vostra piattaforma. Ad oggi diverse soluzioni disponibili per portare i propri dati all’interno di Sentinel; come si può vedere dalla figura 4, non solo abbiamo tecnologie Microsoft ma ci sono anche vendor esterni tra cui spiccano, finalmente, i maggiori player networking.

Per attivare il connettore di una specifica tecnologia, non bisogna fare altro che cliccare sul pulsante Configure e seguire le indicazioni del wizard: il più delle volte si tratta di verificare che l’oggetto comunichi con Log Analytics i propri dati; si può anche aggiungere una dashboard già rilasciata da Microsoft, che verrà aggiunta a quelle già esistenti nel vostro Azure Portal – figura 5 e 6.

Con il passare del tempo, Azure Sentinel si andrà a popolare con tutte le informazioni catturate dai vari connettori e riporterà uno stato della vostra infrastruttura, grazie ad un’interfaccia globale semplice da interpretare.

Conclusioni

Azure Sentinel è sicuramente un grande prodotto che permette di collezionare dati ed analizzarli in modo facile e veloce, sia attraverso query che attraverso dashboard interattive. Nei prossimi mesi assisteremo a nuovi rilasci di connettori, per rendere la piattaforma sempre più al centro della vostra infrastruttura IT.