Microsoft Sentinel on Microsoftin tarjoama pilvipohjainen SIEM- ja SOAR-ratkaisu. Sentinel auttaa organisaatiota havaitsemaan ja analysoimaan tietoturvauhat ja reagoimaan niihin. Ratkaisu hyödyntää tekoälyä sekä automaatiota, jonka avulla Sentinel auttaa organisaatiota parantamaan tietoturvansa hallintaa kokonaisuutena. Sentinel on usein käytössä yhdessä Microsoft Defender XDR -palvelujen kanssa.
Mitä Sentinelin käyttöönotto vaatii organisaatiolta?
Microsoft Sentinelin käyttöönotto ei vaadi organisaatiolta suurta maturiteettia tietoturvan osalta, vaan myös pienempi organisaatio hyötyy Sentinelistä. Sentinel tuo tietoturvaan syvyyttä ja reagointinopeutta, mutta on huomattavasti kevyempi kuin esimerkiksi SOC-palvelun ostaminen ulkopuoliselta palveluntarjoajalta
Sentinel kannattaa ottaa käyttöön, jos organisaatio tarvitsee reagointinopeutta ja automaatiota omasta tietoturvastaan huolehtimiseen. Sen avulla voidaan automatisoida tietoturvaan liittyviä asioita, kuten esimerkiksi irrottaa haavoittunut tietokone verkosta automaattisesti.
Sentinelin käyttöönotossa on myös muutamia asioita, joita on oleellista ottaa huomioon käyttöönottoa suunniteltaessa. Sentinel vaatii hälytysten tarkastamista päivittäin, jotta uhkiin kyetään reagoimaan ja tietoturvariskejä kyetään hallinnoimaan paremmin. Useille organisaatiolle tämä tarkoittaa uusien prosessien ja vastuiden lisäämistä, jotta Sentinelin ylläpito onnistuu.
Microsoft Sentinel vaatii Microsoft Defender XDR -tuotteiden käyttöä
Usein ennen Sentinelin käyttöönottoa organisaatiolla on käytössä Microsoft Defender XDR -tuotteita, jotka riittävät joillekin organisaatioille tietoturvan ylläpitoon.
Microsoft Defender XDR -tuotteet ovat hyviä tuotteita valvontaan, mutta Sentinel tuo valvontaan lisäsyvyyttä, automaatiota sekä reagointinopeutta, jotka pienentävät riskejä. Valvontaa voidaan kyllä rakentaa vain Microsoft Defender XDR -tuotteilla, mutta Sentinel vie valvonnan ja siihen reagoimisen syvällisemmäksi. Defender mahdollistaa esimerkiksi m365-ympäriston ja työkoneiden monitoroinnin, mutta Sentinelin automaation avulla hälytyksiin voidaan reagoida nopeasti ja automaattisesti. Sentinel siis vie tietoturvaa syvällisemmäksi ja pidemmälle automaation kautta, joka tuo myös kustannustehokkuutta tietoturvaan.
Defender tarjoaa valvontaominaisuuksia pääasiassa Microsoftin tuotteille, mutta Sentinel kykenee hyödyntämään myös kolmansien osapuolten tuotteiden lokitietoja ja mahdollistaa jopa itse kehitettyjen sovellusten ja palveluiden lokitietojen lisäämisen. Nämä tiedot voidaan syöttää dataliittimien avulla Sentineliin, jolloin seurantaominaisuudet paranevat entisestään.
Sentinelillä voidaan myös rakentaa dashboardeja, joiden avulla voidaan analysoida syvällisemmin tietoturvaa perustuen esimerkiksi organisaation ja työntekijöiden toimintamalleihin. Esimerkkinä voisi toimia dashboardin tarjoama data ja visualisointi, joka auttaa havaitsemaan työntekijöiden toimintamalleja kirjautumisissa ja niissä tapahtuvia poikkeamia. Näiden perusteella voidaan luoda hälytyksiä poikkeavista kirjautumisista ja lisätä automaatiota poikkeamiin reagoimiseen, joka tekee tietoturvasta varmempaa.
Lue blogimme Microsoft Defender XDR-tuotteista!
Mitä hyötyjä Sentinel tuo liiketoiminnalle?
Microsoft Sentinelin hyödyt liiketoiminnalle ovat sen tuomassa automaatiossa sekä reagointikyvyn nopeutumisessa, jotka pienentävät kustannuksia ja tietoturvaan liittyviä riskejä.
Sentinelin automaation avulla voidaan pienentää kustannuksia, koska manuaalista työtä voidaan vähentää. Reagointinopeus pienentää sekä tietoturvariskejä että kustannuksia. Esimerkkinä voisi toimia tilanne, jossa hyökkääjä on saanut salasanan, käy lataamassa kaikki asiakastiedot ja vaikkapa sähköpostit. Sentinel huomaa tämän poikkeuksellisen, ei-normaalin ketjun ja tekee hälytykset poikkeamista sekä kertoo, kenen salasanaa oli käytetty latauksessa. Manuaalisesti tämän ketjun selvittämiseen voisi kulua useita päiviä, jolloin riskit kasvaisivat ja myös kustannuksia tulisi huomattavasti lisää.
Sentinelin liiketoiminnalliset hyödyt voidaan siis tiivistää tietoturvan kustannustehokkuuden, reagointinopeuden ja kokonaiskuvan paranemiseen.
Lisäarvoa käyttöönottoprosessiin 2NS:n konsultin avulla
Sentinelin käyttöönotossa 2NS tuo lisäarvoa kokonaiskuvan rakentamiseen, sillä ymmärrämme hyökkääjän näkökulman. Tämä tuo käyttöönottoon tehokkuutta, koska kokonaiskuvassa kyetään ottamaan huomioon syvällisesti erilaiset riskit, uhat ja hyökkäysmetodit. 2NS:n konsultti tuo myös ymmärrystä siitä, mikä on mahdollista toteuttaa ja mitä kannattaa tehdä. Laaja-alaisen osaamisemme ansiosta kykenemme myös käyttöönotossa ottamaan huomioon organisaation erityistarpeet tietoturvan suhteen.
Tuomme lisäarvoa Sentinelin käyttöönotossa rakentamalla toimivan pohjan ja ratkaisun organisaatiolle, jota organisaation on helppo itse ylläpitää ja kehittää. Sentinelin kehittämiseen löytyy hyvin ohjeita, joten kun pohjatyö on tehty hyvin, on Sentineliä suhteellisen helppo ylläpitää ja kehittää. Tämän vuoksi juuri käyttöönotossa kannattaa harkita osaavaa tietoturvakumppania.