Artykuł pochodzi z wydania: Styczeń 2025
Microsoft Sentinel to rozwiązanie klasy SIEM oraz SOAR oferowane jako usługa w chmurze Azure. Jest przeznaczone do monitorowania, wykrywania, analizy i reagowania na zagrożenia bezpieczeństwa w środowiskach IT.
Microsoft Sentinel umożliwia gromadzenie danych z wielu źródeł, integruje się z urządzeniami sieciowymi, systemami operacyjnymi, aplikacjami biznesowymi, serwisami chmurowymi i rozwiązaniami bezpieczeństwa innych dostawców. Narzędzie to obsługuje zarówno źródła informacji z usług chmurowych Azure, AWS, Google Cloud, jak również z infrastruktury lokalnej. Do przesyłania danych logów Sentinel wykorzystuje standardy takie jak Syslog, API czy agentów. Gromadzenie danych jest kluczowym procesem, umożliwiającym platformie analizę, korelację i monitorowanie zagrożeń. Microsoft Sentinel udostępnia ponad 100 wbudowanych konektorów dla popularnych systemów i aplikacji, a także umożliwia tworzenie customowych konektorów w celu integracji z aplikacjami lub systemami nieobsługiwanymi domyślnie. Wszystkie zebrane przez Sentinela dane gromadzone są w Log Analytics Workspace, który umożliwia przetwarzanie dużych ilości informacji. Workspace pozwala na tworzenia zapytań KQL (Kusto Query Language) w celu analizy danych oraz przechowuje logi przez czas, którego wymagają przepisy prawa lub wewnętrzne regulacje w organizacji.
Microsoft Sentinel obsługuje dane z usług takich jak Azure Active Directory (Azure AD), Azure Activity Logs, Azure Firewall czy Azure Security Center, jak również z zewnętrznych platform chmurowych, np. Amazon Web Services (AWS) i Google Cloud Platform (GCP). Przetwarzanie informacji dotyczy również tych zbieranych z urządzeń sieciowych systemów bezpieczeństwa, takich jak firewalle, systemy EDR czy IPS/IDS. Do wymiany danych wykorzystywane są protokoły Common Event Format (CEF), Syslog oraz API. Dane są normalizowane do wspólnego formatu (Advanced Security Information Model, ASIM), co pozwala na łatwiejszą ich analizę i korelację informacji z różnych źródeł. Wśród danych zbieranych przez rozwiązanie Microsoftu mogą znaleźć się logi zdarzeń systemowych i aplikacyjnych (np. logi bezpieczeństwa z systemów Windows i Linux), dzienniki aktywności użytkowników (np. logowanie do aplikacji), próby dostępu do zasobów czy informacje o zagrożeniach (Threat Intelligence) – dane zewnętrznych dostawców TI lub wewnętrzne źródła TI. Sentinel zapewnia szyfrowanie zarówno zebranych danych, jak i podczas ich przesyłania.
> ANALIZA DANYCH
Microsoft Sentinel wykorzystuje złożone mechanizmy analizy, w tym reguły analityczne tworzone na podstawie predefiniowanych lub niestandardowych zapytań w języku KQL (Kusto Query Language). Reguły mogą identyfikować podejrzane działania, takie jak nietypowe logowania, próby eskalacji uprawnień czy ataki brute force. Platforma umożliwia tworzenie reguł statycznych opartych na określonych sygnaturach zdarzeń, regułach wykorzystujących uczenie maszynowe, które mogą identyfikować anomalie w zachowaniu użytkowników, urządzeń lub aplikacji oraz wykrywać zagrożenia na bieżąco (NRT). Dodatkowo Sentinel wykorzystuje mechanizm oparty na sztucznej inteligencji, który koreluje dane z różnych źródeł, aby identyfikować ataki takie jak kampanie phishingowe lub ransomware. Funkcja może łączyć różne wydarzenia w jednym incydencie, minimalizując liczbę fałszywych alarmów. Rozwiązanie Microsoftu integruje się z MITRE ATT&CK, co pozwala mapować wykryte zagrożenia na znane techniki ataków, a to z kolei ułatwia planowanie reakcji na podstawie typowych schematów naruszeń.
Wspomniane wyżej zapytania w języku KQL mogą być używane do przeszukiwania zebranych danych pod kątem zagrożeń, zanim zostaną one automatycznie wykryte przez reguły analityczne. Sentinel ma bibliotekę wstępnie skonfigurowanych zapytań (Hunting Queries), których można używać lub dostosowywać je do specyficznych scenariuszy organizacji.
Wykorzystanie wbudowanych Hunting Queries daje wiele korzyści. Dzięki elastyczności języka KQL można zidentyfikować nietypowe wzorce zachowań, ale zapytania mogą również służyć jako źródło tworzenia nowych reguł analitycznych, które automatyzują wykrywanie podobnych incydentów w przyszłości. Wyniki można wizualizować w skoroszytach (ang. workbooks), co ułatwia ich analizę i udostępnianie, a także tworzyć zautomatyzowane działania na podstawie wyników zapytań. Przykłady zapytań wyszukiwania zagrożeń w języku KQL:
- wykrywanie nietypowych logowań:
SigninLogs
| where ResultType != „0”
| summarize CountByIP = count() by
IPAddress, bin(TimeGenerated, 1h)
| where CountByIP > 10
| project IPAddress, CountByIP
- wykrywanie nietypowych procesów:
ProcessCreationEvents
| where TimeGenerated > ago(1d)
| summarize count() by ProcessName
| top 10 by count_
- monitorowanie aktywności administracyjnej:
AuditLogs
| where OperationName == „Add member
to role”
| project TimeGenerated, TargetResource,
InitiatedBy
Skoroszyty pozwalają na przekształcanie informacji, umożliwiając ich prezentację w różnych formatach, takich jak wykresy, diagramy, tabele czy mapy geograficzne. Można łatwo analizować dane, filtrując je według czasu, źródła czy innych parametrów. Wbudowane w Sentinel gotowe szablony workbooków można dostosować do specyficznych potrzeb, w tym tworzyć niestandardowe pulpity nawigacyjne, definiując układy i wizualizacje za pomocą danych z Log Analytics Workspace’a. W ramach interaktywnych pulpitów użytkownicy mogą np. wizualizować liczbę incydentów według priorytetu, źródła czy rodzaju zagrożenia. Istnieje również możliwość śledzenia logowania z nietypowych lokalizacji lub urządzeń – w tym udane i nieudanepróby logowania – czy wizualizowania nietypowych lokalizacji na mapie. Sentinel daje możliwość monitorowania ruchu wychodzącego i przychodzącego w celu wykrycia anomalii, np. nietypowego ruchu, transferu danych według protokołu, wykorzystywanych portów i protokołów. Jednocześnie w skoroszytach mamy możliwość prezentowania korelacji między wykrytymi zagrożeniami a danymi z Threat Intelligence – jak śledzenie prób komunikacji ze złośliwymi domenami lub adresami IP. Konfiguracje workbooka możemy wykonać, wybierając gotowy szablon, i dostosować go w celu stworzenia własnego pulpitu, dodając zapytania KQL i personalizując układ elementów.
[…]
Piotr Maziakowski
Autor jest od 2004 r. związany z branżą IT i nowych technologii w obszarze administrowania systemami klasy ERP. Specjalizuje się w realizacji wdrożeń i audytów bezpieczeństwa informacji.
