Azure Sentinel

por | Mar 2, 2021

Muchos de nuestros clientes y otros usuarios que nos consultan a través de nuestras redes y medios de contacto, inciden en la seguridad de Azure pues en ocasiones no encuentran “la nube” como un entorno seguro del todo.

 

Pero nada más lejos de la realidad, pues Azure es un entorno muy seguro y cada día aparecen nuevos sistemas que fomentan y acrecientan la seguridad, ya que nuestros datos son muy importantes y Microsoft lo sabe.

 

A finales del año 2020, en The Forrester Wave, Microsoft fue nombrado “líder” como proveedor de plataformas de análisis de seguridad, gracias a su herramienta Azure Sentinel, pero ¿qué es esto?

 

Azure Sentinel es una solución de administración de eventos de información de seguridad o (SIEM) y respuesta automatizada de orquestación de seguridad (SOAR), totalmente escalable y nativa de la nube de Azure. Azure Sentinel ofrece análisis de seguridad inteligente alimentando una IA contra amenazas en toda la empresa, de forma que proporciona una solución prematura de detección de alertas, visibilidad de amenazas, búsqueda proactiva, respuesta y acciones contra dichas amenazas.

 

Creado sobre una gama completa de servicios de Azure existentes, Azure Sentinel incorpora de manera nativa Log Analytics y Logic Apps, enriqueciendo la investigación con su propia IA. Esto nos permite tener una vista general de toda la empresa, lo que hace más sencilla la detección de ataques sofisticados y crea alertas y plazos de resolución a largo plazo. Estas son algunas de sus principales características:

 

  • Recopilar datos a escala de nube de todos los usuarios, dispositivos, aplicaciones y de toda la infraestructura, tanto en el entorno local como en diversas nubes.

 

  • Detectar amenazas que antes no se detectaban y reduzca los falsos positivos mediante el análisis y la inteligencia de amenazas sin precedentes de Microsoft.

 

  • Investigar amenazas con inteligencia artificial y buscar actividades sospechosas a escala, aprovechando el trabajo de ciberseguridad que ha llevado a cabo Microsoft durante décadas.

 

  • Responder a los incidentes con rapidez con la orquestación y la automatización de tareas comunes integradas.

 

Azure Sentinel Capabilities

 

Conexión a todos sus datos

 

Antes de incorporar Azure Sentinel, se debe conectar con los orígenes de seguridad de Azure. El servicio incluye varios conectores para soluciones de Microsoft que están disponibles en tiempo real, como Microsoft 365 Defender, Defender for Identity y Microsoft Cloud App Security entre otros que además incluyen conectores para soluciones que no son de Microsoft, como Syslog o las API de REST.

 

Sentinel Collect Data

 

 

Azure Sentinel Workbooks

 

Conectados los Orígenes de datos, Azure Sentinel podrá supervisar la integración con los workbooks de Azure Monitor, que le proporcionarán versatilidad al poder personalizarlo. Como se muestran de forma diferente en Azure Sentinel, puede resultar útil ver cómo crear informes interactivos con los Workbooks de Azure Monitor en este enlace. Azure Sentinel le permite crear los workbooks desde plantillas integradas y en poco tiempo obtener información de los datos conectados.

 

Workbooks

 

 

Análisis

 

Para minimizar el número de alertas que tiene que revisar e investigar, Azure Sentinel utiliza análisis para correlacionar las alertas con las incidencias. Las incidencias son grupos de alertas relacionadas que juntas pueden crear una posible amenaza procesable que se puede investigar y resolver. También dispondrá de reglas de aprendizaje automático para asignar comportamiento de red y buscar anomalías en los recursos. Todos estos análisis conectan distintos puntos sobre distintas entidades pequeñas para solucionar posibles incidentes de seguridad a gran escala.

 

 

Sentinel Incident

 

Automatización y orquestación de la seguridad

 

Automatice las tareas comunes simplificando la orquestación de la seguridad con cuadernos de estrategia que se integran en los servicios de Azure. Construida sobre la base de Azure Logic Apps, la solución de automatización y orquestación de Azure Sentinel proporciona una arquitectura extensible y escalable a medida que surgen nuevas tecnologías y amenazas. Existe una galería con multitud de estrategias posibles que va creciendo a medida que surgen necesidades. Incluyen más de 200 conectores para servicios como Azure Functions y permiten aplicar cualquier lógica personalizada en el código, ServiceNow, Jira, Zendesk, solicitudes HTTP, Microsoft Teams, Slack, Windows Defender ATP y Cloud App Security.

 

Azure Logic App

 

Investigación

 

Las herramientas de investigación profunda de Azure Sentinel están actualmente en versión preliminar y le pueden ayudar a conocer el ámbito y la causa principal de una posible amenaza de seguridad. Puede elegir una entidad en el gráfico interactivo para hacer preguntas interesantes sobre ella y explorarla en profundidad y así llegar a la causa principal de la amenaza.

 

Map Timeline

 

Búsqueda

 

Las eficaces herramientas de búsqueda y consulta de Azure Sentinel basadas en el marco MITRE, le permitirán buscar de forma proactiva amenazas de seguridad en todos los orígenes de datos de la organización, mucho antes de que se desencadene una alerta. Una vez ha realizado una consulta, le devolverá las conclusiones más efectivas sobre los posibles ataques y con ello, podrá también crear reglas de detección personalizadas. Puede también crear marcadores de los eventos más interesantes para poder volver a ellos más tarde o compartirlos con otros usuarios y agruparlos con otros eventos. Creará incidentes de investigación más convincentes.

 

Hunting

 

Comunidad

 

La comunidad de Azure Sentinel en un recurso muy eficaz para la detección y automatización de amenazas. Los analistas de seguridad de Microsoft, crean y agregan constantemente nuevos workbooks, cuadernos de estrategias, consultas de búsqueda entre otros recursos, y los publican en la comunidad para que todo el mundo los pueda usar en su entorno. Se pueden encontrar ejemplos en este repositorio de GitHub privado.

 

Communiti

 

 

Este solo es un pequeño resumen de todo lo que se puede hacer con esta solución. Si desean seguir aprendiendo más sobre Azure Sentinel, lo podrán hacer mediante este enlace.

 

 

¿Necesita más información?

 

MakeSoft Technologies

Somos proveedor certificado, especializados en proporcionar soluciones de cliente basadas en tecnología de Microsoft. Evaluamos sus objetivos empresariales, identificando una solución que satisfaga sus necesidades empresariales y ayudando a su empresa a ser más ágil y más eficiente.

Descubra todos los productos Microsoft que ofrecemos en MakeSoft. Para ello, sólo tiene que acceder a nuestro apartado de “Productos” en la web y dirigirse a la zona indicada para los productos Microsoft.

Puede contactar con nosotros a través de nuestro formulario de contacto, para recibir un asesoramiento en licencias y servicios adecuado a sus necesidades.

Responderemos a todas sus preguntas, aclararemos todas sus dudas y le proporcionaremos toda la información que solicite sin compromiso.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies

ACEPTAR
Aviso de cookies