En hurtig guide til markedets raskeste innføring av Azure Sentinel
Forfatter | Anders Kristiansen
Gapet øker
Cybersikkerhet er blitt et nasjonalt anliggende og et fagfelt som er på toppen av nødvendige investeringer for virksomheter. Microsoft-sfæren har over 10 000 sikkerhetseksperter på vakt som analyserer over 65 trillioner signaler hver eneste dag, og egne innsatsgrupper som kontinuerlig overvåker mer enn 300 kriminelle grupperinger. Nasjonal sikkerhetsmyndighet i Norge fremhever i sin rapport Nasjonalt digitalt risikobilde 2023 at gapet øker mellom hva trusselaktører er i stand til å gjøre, sammenlignet med det forebyggende sikkerhetsarbeidet. Angriperne blir stadig mer avanserte, og de vil snart ta i bruk ny teknologi som kunstig intelligens som er vanskelig å forsvare seg mot. I dagens marked skal du lete godt for å finne en sikkerhetsrapport som ikke trekker frem store prosentvise økninger i målrettede angrep mot bedrifter.
Har samlet beste praksis i ny tjeneste
Det blir stadig mer krevende å finansiere de sikkerhetsinvesteringene som kreves for å være så beredt som forsvarlig. Store norske bedrifter har betalt dyrt for å bygge opp igjen systemene etter alvorlige sikkerhetsbrudd. For å opprettholde god nok sikkerhet behøver virksomheten et styringssystem som har sanntidskontroll på alle deler av nettverket, på tvers av private og offentlige skyer. Microsoft sin løsning Azure Sentinel (se faktaboks) gir SOC-teamet og sikkerhetsavdelingen innsikt på all aktivitet på tvers av plattformer og maskiner. Det gir mulighet til å reagere raskt på trusler og uønskede hendelser. Devoteam har over tid samlet sin beste praksis i en tjeneste, Cloud enabler SIEM, som gir din virksomhet en ny sikkerhetsplattform på 8-12 uker. Tjenesten leveres av fageksperter som har bred erfaring med å innføre Microsofts sikkerhetsløsninger i store norske IT-miljø.
Dette er Microsoft Sentinel
Microsoft Sentinel er et skybasert sikkerhetsstyrings-system som gir intelligent sikkerhetsanalyse og innsikt i trusler på tvers av bedriftens IT-miljø. Programvaren er en såkalt SIEM-løsning som står for Security Information and Event Management. Løsningen hjelper bedrifter med å fange opp, analysere og svare på sikkerhetstrusler før de gjør skade på infrastruktur og systemer. Sentinel lar deg samle inn data fra kilder og logger fra hele nettverket, og gir automatisk varsel ved hendelser. Azure Sentinel kan programmeres til å respondere på trusler automatisk, og sikrer bedre innsikt på tvers av plattformer og maskiner. En SIEM-plattform samler inn hendelsesdata fra loggkilder, overvåker aktivitet og fanger opp adferd/trafikk som avviker fra det normale. Slik sanntidsinnsikt i nettverket gjør at virksomheten kan reagere i sanntid på mulige angrep med en robust plattform som gjør det lettere å være i samsvar med regler og retningslinjer.
Azure Sentinel:
- Samler inn data fra nettverket – fra ansatte, enheter, applikasjoner og infrastruktur – i private datasenter og fra eksterne skytjenester.
- Avdekker nye trusler og gir innsikt i sanntid på hendelser du bør være oppmerksom på.
- Gransker truslene med AI-teknologi og jakter kontinuerlig etter mistenkelige hendelser.
- Reagerer automatisk på hendelser med innebygget orkestrering og automatisering av beskyttelsestiltak.
Møter dine unike sikkerhetsbehov
Cloud Enabler SIEM er en robust tjeneste som gir deg et avansert rammeverk for å innføre Azure Sentinel på 8-12 uker. Dette med en kostnadseffektiv og skalerbar tilnærming som gir den fremste sikkerheten for store virksomheter.
Tjenesten inneholder alle komponenter som gjør det lett å tilpasse Sentinel til de behovene din virksomhet har, og kommer med ferdige konfigurasjoner som gir en høy grad av skreddersøm. ACE SIEM gir analytikere og sikkerhetsekspertene innsikten de behøver for å skjerpe sikkerheten, og rike muligheter for å automatisere forsvarsmekanismer. Tjenesten er en viktig komponent for de som behøver en Zero Trust Rapid Modernization Plan (RaMP); et krav som stadig flere store virksomheter møtes med.
Cloud Enabler SIEM og Azure Sentinel lar dere:
- Sette opp automatiserte tiltak som beskytter mot kjente angrepsformer med XDR for endepunkter, e-post og identitet, og i skyen via M365 og Defender for Cloud
- Få unik innsikt med et moderne verktøy som overvåker alle hendelser på tvers av nettverket, også nye og ukjente trusler
- Fjerne manuelle og tidkrevende prosesser, med automatisert overvåking og -hendelseshåndtering
En komplett og robust plattform
Azure Sentinel aktiveres i din virksomhets skymiljø i Azure. Den kommer med ferdige integrasjoner til Microsoft Defender porteføljen, samt Azure tjenester og Logic Apps til automatisert respons på sikkerhetshendelser. Det gir gode muligheter for analyser og automatisering.
Cloud Enabler SIEM er designet for å gi deg den mest komplette og robuste plattformen, innført i en hastighet som få andre kan måle seg med. Rammeverket er et komplett sett av designbeslutninger, maler, ferdig kode og verktøy som gir stor verdi for alle som skal lykkes over tid med Microsoft Sentinel.
I implementeringen har vi stort fokus på å overføre kunnskap og ferdigheter, slik at dine sikkerhetseksperter selv kan håndtere løsningen etter at plattformen er etablert. Det gir tryggheten du ønsker når dere skal innføre sikkerheten virksomheten behøver.
Fordelene med Cloud Enabler SIEM er:
- Hurtighet: Dere er oppe og står på Sentinel innen 6-12 uker. Det er raskere enn noen annen tilnærming i markedet. Vi bruker ferdige oppsett og maler som gir en kostnadseffektiv og skalerbar sikkerhetsdrift for store virksomheters behov.
- Ekspertkunnskap: Gjennom arbeidsmøter og en sprintbasert arbeidsmetodikk får deres sikkerhetseksperter all Sentinel-kunnskap som er nødvendig. Sikkerheten skjerpes. Dere kan ta i bruk flere skytjenester på en måte som er i samsvar med lover og regler.
- Oversikt og kontroll: Azure Sentinel gir trygghet for at dere er i samsvar med lover og regler. Ved å bygge løsningene på infrastruktur som kode prinsipp (IaC) reduseres risikoen for menneskelige feil. Automatisering og regelstyrt drift frigjør ressurser for mer strategiske formål.
- God budsjettutnyttelse: ACE SIEM er designet for å gi maksimal verdi og kostnadskontroll. En viktig del av innføringen er å lære deg hvilke logger du skal skru av og på, da dette er en nødvendig forutsetning for å holde forbruket under kontroll. Fordi kunnskap om drift av tjenesten overføres underveis så reduseres også senere innleie av kostbar sikkerhetsekspertise.
En innføring i tre viktige faser
Vi har designet et ferdig rammeverk som gir deg den raskeste innføringen av SIEM. Dette med design, ferdig kode og grundig dokumentasjon som gjør det lett å skreddersy implementeringen av SIEM i din virksomhet.
Rammeverket kommer med over 100 designbeslutninger, ferdige retningslinjer, og mer enn 100 Sentinel konfigurasjoner som er klare til bruk. Det sparer deg for mye tid og sikkerheten blir raskt merkbart bedre.
Innføringen av Azure Sentinel gjøres i tre hovedfaser:
Analyse: Gir et tydelig bilde på hvilke Sentinel-funksjoner og designbeslutninger som er riktige for din bedrift. En viktig del av denne fasen er å avdekke alle dine sikkerhetskrav og prioritere rekkefølge for hvilke grep som haster mest. Vi intervjuer deres SOC-team og sikkerhetseksperter og gjør en teknisk kartlegging av sikkerhetsmiljøet.
Arbeidsmøter: En serie workshops der vi blir enige om fremdrift, legger planen for de ulike stegene, og overfører kunnskap og beste praksis slik dere rustes til å selv mestre Azure Sentinel. Vi blir enige om arkitektur, tar designbeslutninger, avtaler regler på hva som skal logges, og integrasjonene som er nødvendige. Med Azure Sentinel logges automatisk alt som er nytt i nettverket. Derfor er det særlig viktig å bestemme seg for hva som er nødvendig å logge, fordi bruk av for mange datakilder kan fort bli veldig kostbart.
Design og implementering: Vi leverer ferdig design, kode og smarte løsninger som sparer deg for mye tid. Vi hjelper deg med hele innføringen og leverer ferdige regler, spørringer, arbeidsflyter og ferdige automatiseringsoppsett for Azure Sentinel. En viktig prosess for implementeringen er at vi gjør dette sammen med deg. Våre ferdige oppsett med regler, arbeidsflyter og automatiserte handlinger er basert på beste praksis og erfaringer fra miljøene til store norske miljøer. Sammen tester vi oppsettet og setter opp de spørringene og tilkoblingene som er viktig å ha på plass i nettverket for å avdekke uregelmessigheter.
Metodikken som brukes i innføringen er Scrum-basert, og gir ditt sikkerhetsteam et godt utgangspunkt å jobbe ut ifra når de skal vedlikeholde og oppdatere plattformen mot de seneste trusler og angrepsmønstre.
Vårt sikkerhetsteam
Devoteams team bak utviklingen av ACE SIEM har lang erfaring fra sikkerhetsfeltet generelt og Microsofts sikkerhetsløsninger spesielt. I Norge er vi ti høyt sertifiserte sikkerhetseksperter som hjelper store virksomheter trygt lykkes med sin digitale transformasjon. Vi har hjulpet store bedrifter i privat næring og offentlig sektor med å innføre anerkjente rammeverk og ta i bruk beste sikkerhetspraksis i deres daglige arbeid. I 2023 ble Devoteam kåret til årets Microsoft-partner i Norge, et synlig bevis på at har den fremste kompetansen på tvers av alle Microsofts løsningsområder.
Vil du ha bedre kontroll på sikkerheten?
Ta kontakt med en av våre sikkerhetseksperter.