Microsoft Sentinel on kustannustehokas ja nopeasti skaalautuva SIEM/SOAR järjestelmä, jonka avulla organisaatio voi turvata on-premises järjestelmät ja pilvessä sijaitsevat resurssit. Kun lokidataa syntyy lisää, niin tilaa voidaan ostaa maksukorttia heiluttamalla eikä tarvitse odottaa uuden tallennustilan saapumista omaan on-premises yksikköön.
Organisaatioilla voi olla käytössä perinteinen on-premises valvontajärjestelmä (SIEM), jonka käyttäminen on jalkautunut organisaation prosesseihin. Perinteiset SIEM-järjestelmät eivät kykene valvomaan pilviresurssien kyberturvaa ja niiden skaalautuvuus on yleensä rajoitettua ja hidasta. Monet organisaatiot käyttävät (tai tulevat käyttämään) pilvipalveluita liiketoiminnan kannalta kriittisiin tehtäviin kuten käyttäjähallintaan, sähköpostiin, tiedostojen säilytykseen ja sovelluksien pyörittämiseen. Tästä syystä organisaatiot ovat myös kiinnostuneita siirtymään pilvipohjaiseen kyberturvavalvontaan ja jättää “legacy” SIEM-järjestelmät (QRadar, ArcSight, LogRhythm) taaksensa.
Sentinel tarjoaa 30 päivän ilmaisen kokeilun, joten sen testaaminen on melko helppoa ja edullista uusille käyttäjille.
Tässä artikkelissa käydään läpi miten migraatio Sentineliin etenee, mitä tulee ottaa huomioon ja miten Microsoft Sentinelin työkalut voivat auttaa tässä prosessissa.
Nykytilan kartoitus
Ensimmäisenä tunnistetaan ja dokumentoidaan kaikki nykyisen SIEM-järjestelmän ominaisuudet ja kyberturvavalvonnan prosessit, jotka halutaan siirtää osaksi Microsoft Sentineliä. Näihin kuuluvat käytetyt teknologiat, datalähteet, tunnistussäännöt, uhkatiedon lähteet ja valvontaprosessit eli hälytysten tunnistaminen, tutkiminen ja ratkominen.
Seuraavaksi tunnistetaan liiketoiminnan kannalta kriittiset kohteet, joiden suojeleminen on prioriteettilistan kärjessä. Näitä kohteita voivat olla muun muassa tietyt käyttäjät, arkaluonteiset tiedostot, virtuaalikoneet ja serverit.
Tavoitteena on luoda kattava dokumentaatio nykyisestä valvonnan tilasta ja käytetyistä prosesseista, jonka pohjalta voidaan luoda suunnitelma näiden siirtämisestä uuteen pilvipohjaiseen valvontaan.
Migraation suunnitteleminen
Hyvä suunnitelma on kaikean A ja O. Sillä varmistetaan, että projektin aikana ei tule ikäviä yllätyksiä tai tilanteita, joissa ei tiedetä seuraavaa askelta eteenpäin. Suunnitelman tavoitteena on luoda dokumentaatio Sentinelin arkkitehtuurista, käytetyistä datalähteistä, analyysisäännöistä, visualisoinneista ja prosesseista. Tämä dokumentaatio yhdistää legacy SIEM:ssä käytetyt ratkaisut Sentinelissä käytettyihin ratkaisuihin.
Huomioon otettavat asiat:
- Sentinelin arkkitehtuuri: Onko käytössä Log Analytics Workspacea Sentineliä varten? Vaatiiko regulaatiot datan jakamista useisiin eri Azure alueisiin? Onko käytössä useita Azure tenantteja?
- Sisäänrakennetut ratkaisut: Pyörää ei kannata keksiä uudestaan. Sentinel sisältää useita sisäänrakennettuja (“out-of-the-box”) ratkaisuja, joiden hyödyntäminen säästää rahaa ja aikaa.
- Kustannusten arviointi: Suunnitelman yhteydessä on järkevää luoda näkemys siitä kuinka paljon Sentinelin käyttäminen tulee maksamaan kun siihen on yhdistetty halutut datalähteet. Azure Pricing Calculator on hyvä työkalu kustannusten arviointiin. Lisää tietoa hinnoittelusta.
- Datan arkaluonteisuus: Kaikki Sentinelin data sijaitsee Microsoftin konesaleissa, joten on tarpeen miettiä kuinka paljon arkaluonteista dataa sinne siirretään ja missä muodossa.
Implementaatio
Ideaalimaailmassa implementaation suorittaminen on suunnitelman seuraamista askel kerrallaan ja riittävän dokumentaation luomista (resurssien nimet jne.). Migraatio suositellaan tehtäväksi askel kerrallaan luomalla ensin MVP (Minimum Viable Product), jonka pohjalta Sentineliä voidaan “testata” ennen kokonaista siirtymistä.
Tässä muutama vaihe implementaatiosta:
- Datalähteiden yhdistäminen
- Valmiiden ratkaisujen asennus (Content Hub): Kartoituksessa ilmi tulleet säännöt ja datalähteet voivat löytyä valmiina ratkaisuina Sentinelistä, jolloin niiden kohdalla ei tarvitse luoda analyysisääntöjä tyhjästä.
- Analyysisääntöjen luominen: Vaatii KQL:n (Kusto Query Language) osaamista. Sisältää uusien analyysisääntöjen luomisen datalähteiden pohjalta sekä olemassa olevien sääntöjen muuntaminen Legacy SIEM:stä Sentineliin.
- Automatisaatioiden luominen (Azure Logic Apps): Sentinel sisältää mahdollisuuden tehokkaiden automatisaatioiden luomiseen. Tavoitteena automatisoida kartoituksessa tunnistettuja prosesseja, jotka säästävät aikaa ja rahaa. Automatisaatioita on myös testattava ennen käyttöönottoa.
- Visualisointien luominen (Workbooks): Useissa legacy SIEM:ssä on näkymiä, joista tunnistetaan ilmiöitä ja luodaan raportteja yritysjohdolle. Sentinelissä näkymät ovat “Workbook”-resursseja, joista voidaan myös luoda automatisoituja Power BI raportteja.
Lopputuloksena on toimiva MVP versio Sentinelistä, jota käyttämällä tunnistetaan sen hyödyt ja mahdolliset kehittämisen kohteet. Implementaation jälkeen alkaa valvontaprosessi, jossa hienosäädetään analyysisääntöjä ja vähennetään “false-positive” hälytysten määrää. Uusien datalähteiden aktivoiminen kannattaa tehdä maltilla, jotta hälytysnäkymään ei synny satoja hälytyksiä päivässä.
Migraation työkalut
Tunnistussääntöjen muuntaminen
Microsoft julkaisi noin kuukausi sitten uuden migraatio ominaisuuden Sentineliin, jonka avulla voidaan muuntaa legacy SIEMin tunnistussääntöjä suoraan KQL-pohjaisiksi analyysisäännöiksi. Tämä ominaisuus tukee tällä hetkellä vain Splunk järjestelmästä siirtymistä. Muista järjestelmistä siirtyminen vaatii yhä manuaalista sääntöjen muuntamista, jossa Tekven asiantuntijat mielellään tulevat avuksi.
Migraation seuraaminen
Microsoft Sentinelissä on visualisointi (workbook), jonka avulla migraatiota voidaan seurata. Visualisoinnissa voi seurata migraation tilaa, suoritettavia tehtävät ja jopa luoda suunnitelma migraatiolle.
![](https://www.tekve.fi/wp-content/uploads/2024/12/0_w3MOl63djJ9PTVX--1024x447.webp)
Lopuksi
Migraation suorittaminen on projekti, jonka suunnitteluun ja suorittamiseen kannattaa käyttää aikaa ja kärsivällisyyttä. Olemassa olevan valvontajärjestelmän lakkauttaminen tehdään vasta kun Microsoft Sentinel on täydessä vauhdissa. Migraation jälkeen varsinainen kyberturvavalvonta alkaa ja prosessien hienosäätö jatkuu.
Tekven asiantuntijat auttavat mielellään migraation kaikissa vaiheissa sekä jatkuvassa kyberturvavalvonnassa, joten ottakaa rohkeasti yhteyttä!