Gestione-sicurezza-Azure

Utilizziamo Azure Security Center come origine dati per Azure Sentinel, per espanderne le potenzialità nei contesti cloud e ibridi

Due soluzioni di security cloud dal mondo Microsoft Azure a confronto: Azure Security Center e Azure Sentinel.

Azure Security Center è un servizio nativo di Azure che offre gestione della security e protezione dalle minacce per infrastrutture Azure e on premise.

Lo troviamo già integrato nei servizi PaaS di Azure, ma possiamo anche distribuirlo rapidamente su Virtual Machine in cloud (Azure e non) e su server on premise, ottenendo quindi una gestione completa di un’infrastruttura ibrida. Possiamo anche usarlo per monitorare il sempre più complesso mondo IoT.

Azure Sentinel è invece una soluzione di security cloud che mette a disposizione funzionalità di tipo SOAR (Security – Orchestration – Automation – Response) e SIEM (Security – Information – Events management), con la possibilità di integrare dati da fonti molto eterogenee, di cui Azure Security Center è solo una delle tante disponibili.

In questo articolo ci focalizziamo proprio sull’opzione della scelta di Azure Security Center come origine dati e mostriamo come i due prodotti possono essere utilizzati insieme per costruire una soluzione completa “nativa Microsoft” per avere sotto controllo lo stato della security di un’architettura ibrida, migliorando la risposta alle potenziali minacce, in continua evoluzione e sempre più sofisticate.

Comparazione features delle due soluzioni

Iniziamo a descrivere le principali features offerte dai due prodotti in modo da evidenziarne i punti in comune e gli aspetti dove invece risultano complementari.

Azure Security Center

Le principali funzionalità offerte da Azure Security Center sono:

  1. Raccomandazioni su come mettere in sicurezza il proprio ambiente
  2. Report per la regulatory compliance, che possono essere usati in caso di audit
  3. Diversi strumenti per la threat protection, che si estendono su tutte le tipologie di servizi Azure: IaaS, PaaS, servers, VMs
  4. Protezione per infrastrutture ibride: Azure Security Center consente anche la gestione di server on premise installando l’agent del Monitoring Agent

 Azure Sentinel

Per quanto riguarda invece Sentinel, abbiamo 4 ruoli principali (Collect – Detect – Investigate – Respond) che raggruppano a loro volta diverse funzionalità, classificate con la seguente terminologia:

  1. Collect fornisce la Visibility, ovvero la connessione alle security source mediante i numerosi connector disponibili. I dati vengono mostrati in una dashboard personalizzabile con la possibilità di aggiungere ulteriori report
  2. Detect offre: Analytics, ovvero la generazione in automatico di «Incidents» generati collegando tra loro gli alerts e gli eventi rilevati in base a un set di regole e Hunting, cioè la possibilità di intercettare in modo proattivo le potenziali minacce all’interno dei data source collegati, prima ancora di ricevere un alert
  3. Investigate fornisce la gestione degli incidents: è possibile qui gestirli, tracciarne lo status e assegnarli a utenti. E’ disponibile anche l’integrazione con sistemi di ticketing esistenti
  4. Respond fornisce Automation e Orchestration: permette di progettare dei workflow che fanno scattare azioni in base agli eventi intercettati, grazie alla tecnologia Azure Logic Apps.

Notiamo quindi che entrambe le soluzioni forniscono molte funzionalità, simili tra loro, sugli aspetti della rilevazione e gestione di minacce e per il monitoraggio delle infrastrutture ibride: abbiamo una relativa sovrapposizione dei due prodotti sulle prime due features di Sentinel (Collect e Detect).

Le principali differenze stanno nel fatto che Sentinel dispone di funzionalità avanzate di Intelligenza Artificiale (AI) e Machine Learning (ML) basate su strumenti già collaudati del mondo Microsoft, che consentono maggiore enfasi sulla gestione proattiva e sull’automazione e orchestrazione della risposta alle minacce, estendendo quindi enormemente le potenzialità di Azure Security Center e rendendo più rapida la gestione degli incident.

Presentiamo adesso alcune delle feature più interessanti dei due prodotti mostrando come possano lavorare assieme in modo efficace: Azure Security Center diventa una sorgente di diagnostiche, raccomandazioni e alert su cui si possono basare le funzionalità più avanzate di Sentinel.

Deploy e Integrazione di Azure Security Center e Sentinel

Entrambe le soluzioni necessitano di un workspace di Log Analytics per salvare i dati raccolti.

Nel caso di Azure Security Center, la sua versione Free (gratuita e con un set limitato di funzioni di base) è già abilitata di default all’interno di ogni sottoscrizione Azure, e per abilitarne tutte le funzionalità basta scegliere “Upgrade” dalla schermata principale.

Per Azure Sentinel invece creiamo da zero la relativa nuova risorsa dalla gallery di Azure e connettiamo un workspace Log Analytics (per il nostro scenario teniamo presente che per Sentinel NON è possibile riutilizzare lo stesso workspace dove eventualmente si è già effettuato il deploy di Azure Security Center).

A questo punto nella schermata principale di Sentinel iniziamo ad aggiungere il primo connector sotto Configuration\Data Connectors, scegliendo “Azure Security Center”

Azure Security Center: Recommendations

Nella schermata principale di Azure Security Center che mostriamo sotto, i clienti possono visualizzare una panoramica immediata della propria “security posture”, ovvero lo stato della sicurezza delle proprie risorse:

Panoramica Security Posture Azure Security Center

Questo grazie alla dashboard Policy and compliance, che attribuisce un punteggio globale (“Secure Score”) allo stato della sicurezza sulla base della conformità o meno a una serie di best practice e alle “recommendation” proposte, evidenziate in base alla priorità.

E’ possibile cosi avere un feedback continuo sul proprio stato di sicurezza visualizzando come il Secure Score aumenta mano a mano che vengono implementate le misure correttive suggerite.

Azure Security Center: Threat Protection

In questa dashboard vediamo le minacce rilevate, ordinate in base a un punteggio di severity.

Le varie notifiche vengono raggruppate nella sezione “Security alerts

Azure Security Center Threat Protection

In questa schermata vediamo ad esempio una serie di alert tutti relativi allo stesso attacco: un tentativo di brute force verso una virtual machine con SQL, con vari eventi correlati come tentativi di logon inusuali e traffico anomalo proveniente da IP sospetti.

Essendo stata rilevata una correlazione, i principali eventi vengono raggruppati in un “security incident”.

A questo punto passiamo direttamente a vedere su Azure Sentinel come possiamo approfondire la gestione e rilevazione delle minacce con ulteriori strumenti.

Azure Sentinel: Threat Management (Investigate)

Incidents
Avendo collegato Azure Security Center come origine dati per Sentinel, possiamo quindi visualizzare anche qui gli eventi relativi alla minaccia “SQL Brute Force attempt”:

Azure Sentinel Incidents

Proprio come in Azure Security Center, gli incidents sono un gruppo di alert correlati tra loro che evidenziano un incidente che si può investigare e risolvere.
Con la funzione “Investigate” possiamo fare un drill-down andando a visualizzare un grafo interattivo che mostra tutte le interconnessioni tra le attività dell’attacco in questione e le entità coinvolte (IP sorgente, virtual machine attaccata, account usato, ecc.).

Tutti gli eventi correlati vengono visualizzati in ordine logico in una timeline, ed è inoltre possibile specificare un Owner per l’assegnazione e la gestione del caso, consentendo una gestione più strutturata all’interno dell’organizzazione del cliente.

Azure Sentinel: Detect

Analytics
Nella sezione Analytics è possibile generare delle «detections» basate sulle data source che abbiamo connesso, e utilizzarle per investigare le minacce. Come punto di partenza abbiamo dei template di regole basati sulle data source disponibili, già sviluppati dai ricercatori di MS.

Hunting
E’ un’altra nuova feature introdotta in Sentinel che consente di andare oltre i limiti di Security Center: con essa è possibile iniziare delle indagini alla ricerca di eventuali vulnerabilità o minacce ancora prima di ricevere degli eventuali alert. Si basa su un set di query preimpostate, con la possibilità di definirne anche di nuove usando il linguaggio Kusto.
Nella schermata vediamo alcune query da usare per potenziali indagini su eventi di sicurezza abbastanza comuni:

Azure Sentinel - Hunting

E’ anche possibile salvare i dati e le attività interessanti rilevati durante queste ricerche per poterli riutilizzare e creare anche delle indagini automatizzate, collegando quindi questa feature con quella di investigation appena vista.

Azure Sentinel: Orchestration e Automation

Playbooks
Per automatizzare le risposte agli attacchi, Sentinel mette a disposizione degli Automation Playbook dove possiamo costruire un workflow usando la tecnologia Logic Apps: ad esempio quando viene intercettato un determinato evento di security posso fare scattare delle azioni.

Progettando il Playbook nella schermata con l’apposito editor di Logic Apps, abbiamo impostato l’invio di una mail quando un alert di Azure Security Center viene rilevato.

Anche questa funzionalità è integrabile con la gestione Incidents: dentro i Full Details di un incident selezionato troviamo “View Playbooks”, che ci fornisce quindi la possibilità di lanciare un playbook on demand.

Conclusioni

Lo scenario che abbiamo mostrato può essere interessante per quei clienti che abbiano già iniziato a spostare i propri workload su Azure proteggendoli con Azure Security Center, e volessero poi integrare in un unico strumento di monitoraggio la gestione di queste risorse cloud con quella di altre risorse rimaste on premise o di altre piattaforme cloud che stanno adottando.

Azure Sentinel consente infatti anche la connessione a molti firewall e altri device fisici presenti sul mercato e allo stesso tempo anche a piattaforme Microsoft come Office 365, Azure Active Directory e Microsoft 365 Security Center o non-Microsoft come Amazon Web Services.

Combinando le raccomandazioni proposte da Azure Security Center con le funzionalità avanzate di investigation presenti in Sentinel, è possibile quindi ottenere un supporto alla gestione della security davvero completo.

Di seguito alcuni link di riferimento:

https://azure.microsoft.com/it-it/blog/securing-the-hybrid-cloud-with-azure-security-center-and-azure-sentinel/

https://medium.com/the-cloud-builders-guild/what-is-the-difference-between-azure-security-center-and-azure-sentinel-9d91eb801cd2

https://msexperttalk.com/azure-sentinel-and-azure-security-center/

 

Microsoft Azure è una piattaforma di Cloud Computing accessibile tramite un portale online che consente di accedere e gestire i servizi e le risorse cloud forniti da Microsoft

 

Azure Engineer

 

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Sentitevi liberi di contribuire!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *