Co daje integracja Microsoft Sentinel z Sysmon?

Korzyści Microsoft Sentinel

Microsoft Sentinel to natywne dla chmury rozwiązanie SIEM (Security Information and Event Management). Narzędzie dostarcza inteligentną analizę zabezpieczeń dla całego przedsiębiorstwa, wspieraną przez sztuczną inteligencję. 

• Zbieranie danych w skali chmury: Microsoft Sentinel umożliwia zbieranie danych dla wszystkich użytkowników, urządzeń, aplikacji i infrastruktury, zarówno ze źródeł lokalnych, jak i ze środowisk wielochmurowych, tworząc centralny punkt kolekcjonowani danych i ich analizy.
• Wykrywanie zagrożeń: Microsoft Sentinel wykorzystuje wbudowane funkcje uczenia maszynowego i wiedzę opartą na codziennej analizie bilionów sygnałów, także od innych dzierżawców, aby wykrywać wcześniej nieodkryte zagrożenia i zminimalizować wyniki fałszywie dodatnie.
• Badanie zagrożeń: Microsoft Sentinel umożliwia badanie zagrożeń za pomocą sztucznej inteligencji i wyszukiwanie podejrzanych działań prowadzonych na dużą skalę.
• Reagowanie na incydenty: Microsoft Sentinel umożliwia błyskawiczne reagowanie na incydenty, korzystając z funkcji aranżowania i automatyzowania typowych zadań.
• Skalowalność i oszczędność: Jako natywne dla chmury rozwiązanie SIEM, Microsoft Sentinel jest tańsze i szybsze do wdrożenia niż starsze lokalne rozwiązania SIEM. Funkcjonuje bowiem jako usługa w modelu SaaS nie wymaga nakładów na infrastrukturę i konfigurację tego, co znajduję się pod warstwą usługi. Dzięki temu można zainwestować w bezpieczeństwo, a nie w konfigurację, obsługę i utrzymanie infrastruktury.
• Zarządzanie incydentami i przypadkami: Microsoft Sentinel oferuje zaawansowane funkcje zarządzania incydentami i przypadkami, które pomagają w prowadzeniu typowego śledztwa dotyczącego incydentu.

Funkcje mogą się różnić w zależności od specyfiki środowiska IT i wymagań biznesowych. W każdym przypadku, wdrożenie Microsoft Sentinel powinno być dokładnie przemyślane i starannie zaplanowane.

Integracja Sysmona z Microsoft Sentinel

Integracja Sysmona z Microsoft Sentinel przynosi wiele korzyści, w tym:

• Zwiększona widoczność: Sysmon dostarcza szczegółowych informacji o aktywności systemowej, takich jak uruchamianie procesów, zmiany w systemie plików i modyfikacje rejestru. Te dane mogą być następnie przesyłane do Microsoft Sentinel, zapewniając pełniejszy obraz aktywności w monitorowanej infrastrukturze.
• Efektywne wykrywanie zagrożeń: Dzięki integracji z Sysmonem Microsoft Sentinel może korzystać z bogatych danych o zdarzeniach systemowych do wykrywania podejrzanej aktywności i potencjalnych zagrożeń.
• Automatyzacja reakcji: Microsoft Sentinel oferuje funkcje SOAR (Security Orchestration, Automation, and Response), które umożliwiają automatyczne reagowanie na wykryte zagrożenia. Dzięki danym z Sysmona, te reakcje mogą być bardziej precyzyjne i skuteczne.
• Oszczędność czasu i zasobów: Integracja tych dwóch narzędzi pozwala na centralizację i automatyzację wielu zadań związanych z bezpieczeństwem. Może to prowadzić do znacznych oszczędności czasu i zasobów.
• Poprawa zgodności: Dane z Sysmona mogą być wykorzystane w Microsoft Sentinel do tworzenia szczegółowych raportów i audytów, co może pomóc w spełnieniu wymogów zgodności.

Należy pamiętać, że korzyści te mogą się różnić w zależności od specyfiki środowiska i wymagań biznesowych. Niezbędne jest także optymalizowanie konfiguracji – chociażby filtrów zdarzeń Sysmona w cyklu życia implementacji. Ma to na celu z jednej strony eliminację rejestrowania zbędnych zdarzeń. Z drugiej nastawić precyzyjne filtry pod wykrywanie konkretnych (najczęściej nowych) scenariuszy ataku. Integracja z Sysmona z Sentinelem jest tylko jednym z możliwych przykładów integracji Sysmona z narzędziem SIEM. 

Konfiguracja integracji

Należy rozpocząć od przygotowania obszaru roboczego usługi Log Analytics w Azure i powiązania z nim usługi Azure Sentinel. Następnym krokiem jest podłączenie do Log Analitycs monitorowanych zasobów – komputerów i serwerów. Wygodnie można to zrobić z wykorzystaniem Azure Arc, a wygenerowany skrypt konfiguracyjny może w znacznym stopniu zautomatyzować cały proces. W przypadku środowisk izolowanych od internetu logi można dostarczać do Azure za pomocą skonfigurowanego rozwiązania proxy. Logi z systemu Windows są dostarczane za pomocą usługi Microsoft Monitoring Agent.

Rysunek 1 Widok okna programu MMA, za pomocą którego można sprawdzić stan połączenia z usługą Log Analytics