เพิ่มความปลอดภัยให้ข้อมูลในองค์กรด้วย Azure Sentinel

• Facebook
• Twitter
• Line

สวัสดีครับเพื่อน ๆ ชาว IT กลับมาพบกันอีกครั้งกับ Cloud HM Blog ข่าวสาร และบทความ IT น่าอ่านพร้อมบริการทุก ๆ ท่านนะครับ

วันนี้ทาง Cloud HM  จะขอมาแบ่งปันความรู้ของ Product  Microsoft Azure ในหัวในด้าน Security และ Microsoft Azure มี Solutions ให้อะไรตอบโจทย์นี้ โดยในหัวข้อนี้เราขอเสนอโปรดักส์ Azure Sentinel

• Azure Sentinel คืออะไร?
  • Azure Sentinel คือบริการอย่างหนึ่งของในค่าย Microsoft ซึ่งจะช่วยในการจัดการข้อมูลและเหตุการณ์ด้านความปลอดภัย ซึ่งวิเคราะห์ในรูปแบบ SIEM นั้นเป็นระบบวิเคราะห์ไฟล์ล็อกและข้อมูลอื่นๆแบบ เรียลไทม์ เพื่อตรวจจับว่ามีการโจมตีหรือมีข้อมูลรั่วไหลออกไปหรือไม่ องค์กรจะได้รับมืออย่างทันท่วงที
  • Azure Sentinel คือบริการ SIEM ที่เป็น Cloud Native นั้นคือจะมีการทำงานบน Microsoft Azure อย่างเดียว และไม่มีในรูปแบบติดตั้งบนเครื่อง On-Premise เพื่อง่ายต่อการจัดการ และการขยายตัวเพื่อรองรับโหลดได้ดี อีกทั้งยังสามารถอ่าน ไฟล์ล็อกจากประเภทต่างๆ และยังสามารถนำเข้าข้อมูลล็อกจาก Office 365 ได้อีกด้วย ปัจจุบันสามารถอ่าน Log ได้ถึง 32 Providers

• รูปแบบการทำงานของ SEIM and SOAR 
  • SIEM
    • Security
    • Information
    • Event
    • Management
  • SOAR
    • Security
    • Orchestration
    • Automated
    • Response

• ค่าบริการ Azure Sentinel
  • มีการคิดค่าบริการ 2 รูปแบบ
    • คิดแบบราคาเหมาจ่ายตามจำนวนขนาด Log ที่ใช้งาน ต่อวันแต่จะได้ส่วนลด ตามเรทราคาดังนี้

• คิดราคาตามการใช้งานจริง คือ 2.60 US ต่อ GB

รูปแบบการทำงาน Azure Sentinel มี 4 รูปแบบ

• Collect ทำงานเชื่อมข้อมูลกับระบบต่างๆ ทั้งบน Cloud , On-premise และ Provider เจ้าอื่นๆ

รูปแบบประเภทของการเชื่อมข้อมูลมี 3 ประเภท

• Native Microsoft คือรูปแบบที่เชื่อมกับบริการของ Microsoft เช่น  Azure AD audit log sign-ins, Azure Activity, Azure AD Identity Protection, Azure Security Center, Azure Information Protection
• API based data sources คือ การเชื่อมต่อโดยใช้ REST API ส่งข้อมูลไปยัง Azure sentinel เช่น Barracuda, Symantec, Citrix Analytics(Security)
• Agent-Based Data Sources คือ Agent สามารถทำงานบน Windows หรือ Linux  และสามารถดึงข้อมูลจาก Syslog และสามารถใช้ข้อมูลดังกล่าว เช่น  Checkpoint, Cisco ASA, Fortinet Palo Alto, CEF applications

โดยข้อมูลที่ดึงมาทั้งหมดจะถูกนำไปเก็บไว้ที่ Log Analytics Workspace แล้วนำไปประมวลผลอีกครั้ง

• Detect  ส่วนวิเคราะห์ภัยคุกคามที่จะเกิดขึ้น และข่าวสารภัยคุกคาม
• Investigate วิเคราะห์พฤติกรรม และกิจกรรมที่น่าสงสัย ด้วย AI
• Respond เมื่อเกิดเหตุการณ์จากส่วนข้างต้น ส่วนนี้จะดำเนินการต่อไม่ว่าจะเป็นหยุดกิจกรรมนั้น หรือแจ้งข้อมูลไปยังผู้ดูแล

• Data connectors
  • Providers 32  providers
  • Data type  71 types

วิธีเปิดใช้งาน Service Azure Sentinel และ อธิบายส่วนต่างๆ

• Step 1.  Create Resource Group
  • Resource Group:  AZ-Sentinel 

• Step 2. Enable Service: Azure Sentinel

• Step 3. Create workspaces    

• Create a new workspace

• Subscription :
• Resource group: AZ-Sentinel
• Instance details:
  • Name: inssentinel
  • Region: Southeast Asia
  • Pricing Tier: Pay-As-you-go(Per GB 2018 )

• Select Workspace : inssentinel => Add to Azure Sentinel

• เปิดใช้งาน Service Azure Sentinel  เสร็จสมบูรณ์

หน้าแรกของบริการ Azure Sentinel

ส่วนหน้า Dashboard Overview หน้าแรก แบ่งเป็น 3 ส่วน

1. เมนูลิส ใช้ในการ Config และ Manager ส่วนต่างๆ
2. แสดง Event ต่างๆ ในรูปแบบกราฟ
3. แสดงจำนวน Event / Alert / Incident รวมถึง Incident ที่เพิ่งเกิด และปิดไปแล้ว

ส่วนหน้า Log เป็นส่วนที่Query  ข้อมูลจาก Log โดยตรง โดยส่วนของข้อมูลแยกเป็น 3 ส่วน

1. เมนูลิส Log
2. ส่วนของประเภทของการ Query
3. ส่วน สคริ๊ปในการทำงาน Query
4. ผลลัพย์ของการ Query

ส่วนนี้ News & guides  เมนูส่วนนี้ จะเป็นส่วนที่เผยแพร่ข่าวสารต่างๆของ Azure Sentinel และ เป็นส่วนที่แนะนำในการใช้งาน เป็นรูปแบบ Step by Step

ส่วนนี้ จะเป็นในส่วนการจัดการ และส่วนนี้ จะเกิด incidents จะแสดงในส่วนนี้ เพื่อให้ง่ายต่อการแก้ไขปัญหา

ส่วน Workbooks เป็นส่วนที่จะแสดงข้อมูลจากส่วนที่เกี่ยวข้องให้แสดงในรูปแบบกราฟ หรือ รูปแบบอื่นๆตามที่ต้องการ

ส่วนเมนู Hunting เป็นส่วนที่วิเคราะห์ พฤติกรรม ที่เกิดขึ้น ตาม Query ที่ได้ตั้งค่าไว้

ส่วนเมนู Notebooks  และ Entity behavior analytic ยังเป็น Version Preview

Data Connectors เป็นส่วนที่เปิดใช้งานให้ Azure sentinel เชื่อมต่อกับแหล่งข้อมูลเพื่อนำไปวิเคราะห์  โดยขั้นตอนคือ เชื่อมต่อกับแหล่งข้อมูล และตั้งค่า การวิเคราะห์ต่างๆ เมื่อเชื่อมกับแหล่งข้อมูลนั้น  จะมีการแสดงว่าจะนำข้อมูไปใช้ส่วนใหน และมีWorkbooksอะไรที่เกี่ยวข้อง ร่วมถึง Queries และ Analytic rules templates

ส่วนเมนู Analytics เป็นส่วนที่สร้างและตั้งค่าวิเคราะห์ตามเหตุการณ์ต่างๆ

ส่วนเมนู Playbooks เป็นส่วนในการแจ้งเตือน หรือ กระทำบางอย่างเมื่อเกิดเหตุการณ์

ส่วนเมนู Setting เป็นส่วนตั้งค่าสามารถเปลี่ยนแปลง แพ็คเก็จ และ สามารถวิเคราะห์ข้อมูลล็อคที่ใช้ไป และยังสามารถ Remove Service Azure Sentinel ได้ที่นี่ได้เช่นกัน

Cloud HM Partner ผู้เชี่ยวชาญของ Azure พร้อมบริการ Microsoft Azure ในทุกรูปแบบ รวมถึงแบบ Multicloud ติดต่อเราได้ทันทีที่นี่

ข้อมูลอ้างอิง:

Azure Sentinel overview

https://azure.microsoft.com/en-us/services/azure-sentinel/

Azure Sentinel pricing

https://azure.microsoft.com/en-us/pricing/details/azure-sentinel/

Azure Sentinel blog

https://techcommunity.microsoft.com/t5/azure-sentinel/bg-p/AzureSentinelBlog

E-Book Cloud-Native SIEM

https://infowan.de/wp-content/uploads/2019/10/Quick-Start-Guide-Azure-Sentinel-En-1.pdf

Github  SourceCode

https://github.com/Azure/Azure-Sentinel

— Cloud HM