Azure Sentinel: risposte automatizzate e predizione degli attacchi

logo Aquest
AQuest
13 gennaio 2022

Progetto senza titolo - 2022-01-13T151751.088

È arrivato Azure Sentinel, il software SIEM che mancava in casa Microsoft e che offre contemporaneamente una soluzione SOAR (Security Orchestration Automated Response).

Cos’è Azure Sentinel

Azure Sentinel, o meglio Microsoft Sentinel perché questo è il suo nome ufficiale, può essere considerato il naturale potenziamento ed ampliamento di Log Analytics. Sentinel incorpora in modo nativo servizi collaudati come Log Analytics e App per la logica e costituisce di fatto l’evoluzione delle potenzialità di Log Analytics.

Al netto di queste considerazioni, Sentinel è un SIEM, cioè un Security Information and Event Manager. Microsoft ne dà questa definizione: “è una piattaforma che permette di collezionare dati da più fonti per esporre a sua volta risultati facili da consultare per gli utenti”.

Si tratta di un servizio che mette in campo l’intelligenza artificiale per collezionare informazioni ed esporle all’IT in modo pragmatico ed efficace. A livello di funzionalità crea alert e dashboard capaci di mostrare lo stato di un determinato workload a colpo d’occhio. Sul piano pratico offre tutti gli strumenti per analizzare i dati in modo intuitivo accelerando così anche i tempi di risposta alle eventuali anomalie rilevate. Anzi, la promessa è proprio di anticiparle.

Infatti, Microsoft Azure Sentinel è sì una soluzione di tipo SIEM (Security Information and Event Management) ma anche SOAR (Security Orchestration, Automation and Response). A livello di Security, offre analisi intelligenti di sicurezza sull’intera rete aziendale dando visibilità alle minacce potenziali e favorendo la ricerca proattiva e la risposta ai problemi prima che esplodano.

Cosa fa Azure Sentinel

  1. Raccoglie i dati da sorgenti locali e/o in cloud di tutta l’infrastruttura aziendale e di tutti i nostri workload o device.
  2. Rileva le minacce sconosciute, anche quelle non rilevate in precedenza, e aiuta a ridurre al minimo i falsi positivi riducendo le perdite di tempo.
  3. Rileva il comportamento anomalo degli utenti.
  4. Usa l’intelligenza artificiale per scovare le attività sospette; l’AI è basata sui Big Data accumulati da Microsoft nel tempo.
  5. Risponde automaticamente agli eventi imprevisti: semplifica le operazioni di sicurezza e accelera la risposta alle minacce con automazione e orchestrazione di attività e flussi di lavoro comuni.

L’AI – analisi del comportamento per anticipare le minacce

Come funziona l’AI di Microsoft Azure Sentinel?

I sistemi di AI monitorano i comportamenti abituali in modalità di apprendimento e proprio in virtù dei comportamenti normali scovano quelli anomali con livelli di predicibilità inediti.

In questo modo vengono rilevate attività inusuali e comportamenti anomali degli utenti. Infine, si ottiene un livello di informazioni molto dettagliato grazie alla profilazione di utenti ed entità.

Tutta un’altra Ux

La user experience di Sentinel è di next generation, pertanto risulta altamente intuitiva e facilmente comprensibile. Possiamo contare, ad esempio, sulla modalità di consultazione degli eventi come infografica dinamica. Microsoft ha dedicato particolare attenzione a questo aspetto e il risultato è una curva di apprendimento molto rapida.

Azure Sentinel è un nuovo mondo che noi abbiamo già iniziato a esplorare! Se anche tu vuoi saperne di più sulla piattaforma e le sue potenzialità, contattaci subito per parlare insieme a uno dei nostri esperti. 

Contattaci