Azure Sentinel è una soluzione di gestione delle informazioni di sicurezza e degli eventi (SIEM) basata sul cloud e fornita da Microsoft. Progettato per offrire una visione olistica della sicurezza aziendale, con la capacità di aggregare e analizzare enormi quantità di dati provenienti da diverse fonti, Sentinel aiuta le organizzazioni a identificare modelli di comportamento anomali e a gestire gli incidenti di sicurezza in modo più efficace. Inoltre, la sua scalabilità e flessibilità lo rendono adatto a qualsiasi tipo di infrastruttura IT, migliorando la protezione delle risorse digitali in un panorama di minacce in continua evoluzione. In questo articolo vedremo più da vicino che cos’è, quali sono le sue caratteristiche principali, le differenze con altri servizi di cybersecurity di Azure e i modelli di pagamento per usufruire del servizio.
La sicurezza informatica sta diventando un problema sempre più rilevante nel panorama digitale contemporaneo, con aziende e organizzazioni di tutto il mondo che investono significative quantità di denaro per proteggere al meglio le loro infrastrutture informatiche.
Microsoft non è rimasta a guardare e ha passato gli ultimi anni a lavorare a soluzioni per la cybersecurity da fornire agli utenti di Microsoft Azure, la seconda piattaforma di cloud computing più utilizzata al mondo.
Uno dei risultati di questo lavoro sulla sicurezza delle infrastrutture cloud della casa di Redmond è Azure Sentinel (conosciuto anche come Microsoft Sentinel), una soluzione SIEM (Security Information and Event Management) basata sul cloud, la cui capacità principale è quella di rilevare, raccogliere informazioni, indagare e rispondere alle minacce informatiche moderne.
A causa del grande flusso di dati, un'organizzazione spesso perde il controllo di tutti i dati e Sentinel serve proprio a tenere sotto controllo la propria azienda, garantendo che i propri dati non vengano compromessi.
Le informazioni sono memorizzate nello spazio di analisi dei log di Azure Monitor mentre Sentinel continua a svolgere il suo lavoro di raccolta, rilevamento, indagine e risposta a qualsiasi vulnerabilità, mantenendo i dati aziendali al sicuro.
Azure Sentinel può diventare un componente critico della strategia di cybersecurity di qualsiasi organizzazione e sfruttando le sue capacità avanzate di rilevamento e risposta alle minacce, la visibilità completa, la convenienza economica e la gestione semplificata, le compagnie possono migliorare la loro postura di sicurezza e rimanere sempre un passo avanti ai pericoli del mondo digitale. Vediamo più nel dettaglio come.
Azure Sentinel è una soluzione cloud-native di gestione delle informazioni e degli eventi di sicurezza (SIEM) e di orchestrazione, automazione e risposta della sicurezza (SOAR) che aiuta a raccogliere dati da una varietà di fonti, analizzarli per rilevare minacce e rispondere agli incidenti in modo rapido ed efficace.
Ma che cosa vuol dire esattamente SIEM? E SOAR? Il primo altro non è che l’acronimo di Security Information and Event Management, una soluzione di sicurezza che combina le funzioni di gestione delle informazioni di sicurezza (SIM, Security Information Management) e gestione degli eventi di sicurezza (SEM, Security Event Management) in un unico sistema integrato.
Il SIEM ha il compito di raccogliere, analizzare e correlare dati di log e eventi di sicurezza provenienti da diverse fonti all'interno di un'infrastruttura IT, al fine di rilevare minacce, anomalie e violazioni della sicurezza.
SOAR (Security Orchestration, Automation, and Response) definisce invece una soluzione tecnologica che integra orchestrazione della sicurezza, automazione e risposta agli incidenti per migliorare l'efficienza delle operazioni di sicurezza.
I benefici del SOAR includono un miglioramento della velocità e dell'efficienza, in quanto l'automazione riduce i tempi di risposta e il carico di lavoro manuale, accelerando il processo di rilevamento e mitigazione delle minacce e centralizza la gestione delle operazioni di sicurezza, offrendo una visione unificata e completa della postura di sicurezza dell'organizzazione.
Questo approccio consente alle organizzazioni di gestire un numero crescente di eventi di sicurezza senza dover aumentare proporzionalmente il personale. Infine, le funzionalità di orchestrazione e automazione consentono una risposta proattiva e preventiva, migliorando la capacità dell'organizzazione di affrontare minacce emergenti.
Azure Sentinel utilizza Azure Log Analytics come parte della sua architettura, una piattaforma per la raccolta, l'archiviazione e l'analisi dei log e dei dati delle prestazioni che fornisce a Sentinel una base solida per l'analisi e la correlazione dei dati di sicurezza.
Per l'analisi dei dati e la creazione di query, il servizio utilizza Kusto Query Language (KQL), che è un linguaggio di query progettato per interrogare grandi volumi di dati. KQL è particolarmente efficace per l'analisi dei log e l'individuazione di modelli di comportamento.
Sentinel funziona secondo un ciclo che inizia con la gestione dei log, prosegue con la normalizzazione degli schemi, la convalida dei dati, la rilevazione e l'indagine, e include risposte automatiche agli avvisi. Ecco come Sentinel fornisce questa funzionalità end-to-end:
Adesso che abbiamo un’idea più chiara di come Azure Sentinel opera in linea generale, vediamo insieme più nel dettaglio alcune delle sue componenti chiave per comprendere meglio le loro funzioni:
Abbiamo creato il team Infra&Security, verticale sul cloud Azure, per rispondere alle esigenze dei clienti che ci coinvolgono nelle decisioni tecniche e strategiche. Oltre a configurare e gestire il loro tenant, ci occupiamo di:
Con Dev4Side, hai un partner affidabile in grado di supportarti sull'intero ecosistema applicativo di Microsoft.
Come soluzione SIEM/SOAR completa e tutto-in-uno, Microsoft Sentinel è efficace nel rilevare, investigare e rispondere all'intero spettro di attori delle minacce e attacchi informatici.
Sebbene Sentinel offra una protezione affidabile contro attacchi di phishing, botnet, malware e altro ancora, potrebbe essere ancora più cruciale nel contrastare alcune delle minacce più recenti e innovative. Vediamone alcune nell’elenco qui sotto:
Sentinel non è l’unico strumento di sicurezza fornito da Azure. La piattaforma di cloud computing Microsoft ha infatti numerosi servizi dedicati alla cybersecurity, ognuno con i suoi specifici obbiettivi e utilizzi.
Ma come sempre, quando le opzioni sono numerose, in proporzione aumenta anche il livello di confusione riguardo a quale strumento faccia cosa e in quali contesti utilizzare uno piuttosto che l’altro, specialmente se si sta appena cominciando a familiarizzare con la piattaforma Azure.
Prendiamoci quindi un momento per chiarire le differenze tra Azure Sentinel e due dei servizi con cui viene più spesso confuso dai nuovi utenti: Azure Monitor e Azure Defender.
Azure Monitor e Azure Sentinel sono due strumenti che servono scopi diversi nel contesto della gestione dei propri ambienti cloud.
Azure Monitor è progettato per raccogliere, analizzare e agire sui dati di telemetria provenienti dalle applicazioni e dai servizi in esecuzione su Azure e il suo scopo principale è monitorare le prestazioni, la disponibilità e lo stato delle risorse Azure, fornendo metriche, log e avvisi per aiutare a mantenere le applicazioni e i servizi funzionanti in modo efficiente. Uno strumento particolarmente utile per amministratori di sistema, sviluppatori e operatori IT che desiderano monitorare lo stato e le prestazioni delle loro risorse cloud.
Dall'altra parte, Azure Sentinel è progettato per i team di sicurezza che necessitano di una piattaforma SIEM per proteggere l'infrastruttura IT da minacce informatiche e fornisce una soluzione di sicurezza integrata che rileva, indaga e risponde alle minacce alla sicurezza delle proprie infrastrutture digitali. Sentinel aggrega i dati di sicurezza da diverse fonti (incluso Azure Monitor) per identificare minacce potenziali e offre strumenti specifici per la gestione e la risposta agli incidenti di sicurezza.
Azure Monitor e Sentinel, pur condividendo l'obiettivo comune di ottimizzare la sicurezza e le prestazioni dei tuoi ambienti Azure e non Azure, adottano approcci distinti ma complementari. Mentre Monitor eccelle nel fornire approfondimenti operativi e analisi delle prestazioni, Sentinel offre analisi avanzate di sicurezza insieme a capacità di ricerca proattiva delle minacce e risposta agli incidenti.
Pertanto, "Azure Monitor vs. Sentinel" non dovrebbe rappresentare una scelta esclusiva, ma piuttosto si dovrebbe considerare i loro rispettivi vantaggi in modo olistico, utilizzando entrambi insieme per costruire una robusta postura di sicurezza informatica. Comprendendo e utilizzando correttamente questi strumenti di Azure è possibile sfruttarli in maniera sinergica, facendo in modo che i nostri analisti ed esperti di cybersecurity possano lavorare con panoramiche delle situazioni il più dettagliate possibili.
Nel caso di Azure Defender for Cloud, una piattaforma di protezione dei carichi di lavoro cloud (CWPP), la differenza con Sentinel non è tanto una differenza di scopo quanto di scala. Sono infatti entrambi servizi specifici per la cybersecurity che però operano su piani diversi di questo ambito.
Defender è una soluzione di gestione della sicurezza delle risorse, specificamente progettata per proteggere le risorse di Azure e i carichi di lavoro ibridi, fornendo protezione integrata per macchine virtuali, database SQL, container, applicazioni e molto altro utilizzando una combinazione di tecnologie basate su agenti (piccoli programmi software installati direttamente sulle risorse cloud, come macchine virtuali o container, per monitorare e raccogliere dati su attività e comportamenti) e senza agenti per rilevare e rispondere alle minacce che possono compromettere il corretto svolgimento delle loro operazioni.
Il suo scopo principale è rilevare e rispondere alle minacce direttamente sui carichi di lavoro protetti, utilizzando funzionalità come la valutazione della configurazione di sicurezza, il monitoraggio continuo e la protezione delle vulnerabilità, concentrandosi però sulla sicurezza a livello di risorsa e fornendo raccomandazioni per migliorare la postura di sicurezza e proteggere contro minacce specifiche ai carichi di lavoro in esecuzione su Azure.
Azure Sentinel invece offre una visione centralizzata e unificata della sicurezza attraverso l'intero ambiente IT dove opera raccogliendo e analizzando dati di sicurezza da numerose fonti per rilevare e rispondere alle minacce in modo proattivo.
È più o meno la differenza che c’è tra una guardia di sicurezza di una fabbrica incaricata di sorvegliare una determinata area critica (Defender) e una torre di controllo (Sentinel) che si occupa di osservare tutti i movimenti all'interno e all'esterno della fabbrica raccogliendo informazioni da vari punti di guardia per identificare minacce potenziali, analizzare schemi di comportamento sospetti e coordinare una risposta strategica a livello globale e non di singola area.
Entrambi i servizi sono dunque complementari nello svolgimento delle loro funzioni e possono essere utilizzati insieme sfruttando i loro focus differenti per fornire una protezione completa e approfondita delle risorse e delle operazioni di sicurezza su Azure a ogni livello.
Azure Sentinel, essendo un servizio basato sul cloud, presenta strutture di prezzi e costi variabili rispetto alle soluzioni di sicurezza tradizionali on-premises. Il costo è principalmente basato sul volume di dati raccolti e sul numero di utenti o analisti che accedono alla piattaforma.
Qui ci limiteremo a dare una panoramica dei fattori che influenzano il costo totale del servizio. Se si desidera avere le stime precise e i prezzi per singola regione e valuta vi rimandiamo alla pagina ufficiale di Azure Sentinel (disponibile qui), dove è disponibile anche un’opzione per richiedere un preventivo tarato sulle proprie esigenze.
Il principale fattore di costo per Microsoft Sentinel è la quantità di dati raccolti nella piattaforma. Questo include i dati dei log provenienti da varie fonti, come i Windows Event Logs, i servizi Azure e le integrazioni di terze parti.
Il costo per gigabyte (GB) di dati raccolti varia a seconda del tipo di dati e della regione in cui i dati sono memorizzati. Queste tariffe possono essere soggette a modifiche, quindi è essenziale rimanere aggiornati sulle ultime informazioni sui prezzi da Microsoft.
Oltre ai costi di ingestione dei dati, Microsoft Sentinel addebita anche il costo per il numero di utenti o analisti che accedono alla piattaforma. Questo costo è basato sul numero di utenti attivi, che include sia utenti con accesso in sola lettura che utenti con accesso in lettura e scrittura.
È importante notare che le licenze utente sono addebitate su base mensile per utente, quindi le organizzazioni devono pianificare e gestire attentamente il numero di utenti per controllare i costi.
Microsoft Sentinel offre diversi modelli di licenza e prezzi per soddisfare le diverse esigenze delle organizzazioni. Comprendere questi modelli può aiutarti a scegliere l'opzione più adatta per la tua azienda.
Quando si stimano i costi di Microsoft Sentinel, le organizzazioni dovrebbero tenere in considerazione diversi fattori per evitare di incappare in inutili sovrapprezzi durante l’utilizzo del servizio. Qui sotto forniamo un piccolo elenco con quelli più importanti per cominciare a farsi un’idea di quali aspetti tenere in considerazione:
La sicurezza informatica non è mai stata così cruciale nel mondo della protezione dei dati come lo è oggi, con organizzazioni di tutto il mondo che lavorano duramente per garantire la sicurezza dei loro dati aziendali critici.
Ci sono moltissimi strumenti SIEM al momento sul mercato. Tuttavia, molti professionisti IT continuano ad affidarsi ad Azure Sentinel di Microsoft per la sua facitlità d’utilizzo e le sue capacità solide di raccolta, analisi e correlazione dei dati da diverse fonti Azure che permettono di rilevare e rispondere rapidamente agli incidenti di sicurezza.
La sua integrazione nativa con altre soluzioni Microsoft e la possibilità di integrarlo con soluzioni di terze parti grazie ai connettori personalizzati, nonché l’utilizzo delle più recenti tecnologie di intelligenza artificiale e machine learning per identificare comportamenti anomali, lo rendono uno strumento incredibilmente solido per tutte quelle aziende che desiderano proteggere le proprie infrastrutture IT in modo efficiente e scalabile.
Azure Sentinel offre funzionalità di raccolta dati da diverse fonti, rilevamento delle minacce tramite analisi avanzate, indagine sugli incidenti di sicurezza e risposta automatizzata alle minacce.
Azure Sentinel è progettato per identificare e contrastare una vasta gamma di minacce informatiche, tra cui attacchi malware, tentativi di phishing, accessi non autorizzati e altre attività sospette all'interno dell'infrastruttura IT di un'organizzazione.
A differenza di altri servizi di sicurezza di Azure focalizzati su specifici aspetti della protezione, Azure Sentinel offre una visione olistica della sicurezza aziendale, integrando funzionalità SIEM e SOAR per una gestione completa delle minacce.
Azure Sentinel adotta un modello di prezzo basato sul volume di dati analizzati e sulle funzionalità utilizzate, con opzioni di pagamento a consumo o piani predefiniti, permettendo alle organizzazioni di scegliere l'opzione più adatta alle proprie esigenze.
Per iniziare a utilizzare Azure Sentinel, è necessario avere un account Microsoft Azure. Successivamente, è possibile configurare Azure Sentinel nel portale di Azure, collegare le fonti di dati desiderate e iniziare a monitorare l'infrastruttura per rilevare e rispondere alle minacce alla sicurezza.
Il team Infra & Security è verticale sulla gestione ed evoluzione dei tenant Microsoft Azure dei nostri clienti. Oltre a configurare e gestire il tenant, si occupa della creazione dei deployment applicativi tramite le pipelines di DevOps, monitora e gestisce tutti gli aspetti di sicurezza del tenant, supportando i Security Operations Centers (SOC).
