Definition: Der Wachposten aus der Microsoft Cloud Was ist Azure Sentinel?

Azure Sentinel ist eine cloud-basierte SIEM- und SOAR-Lösung von Microsoft und dient der automatischen Erkennung von Sicherheitsbedrohungen. Für die Sicherheitsanalysen kommen Künstliche Intelligenz (KI) und Machine Learning (ML) zum Einsatz.

Security Information und Orchestration mit Azure Sentinel: Cloud-natives SIEM aus der Microsoft-Cloud.
Security Information und Orchestration mit Azure Sentinel: Cloud-natives SIEM aus der Microsoft-Cloud.
(Bild: gemeinfrei (© Gerd Altmann) / Pixabay )

Azure Sentinel ist der Name einer cloud-basierten SIEM- und SOAR-Lösung von Microsoft. Die Abkürzungen SIEM und SOAR stehen für Security Information Event Management und Security Orchestration Automated Response. Die Begriffe beschreiben Strategien und technische Lösungen, um Sicherheitsbedrohungen der IT zu erkennen und automatisierte Aktionen zur Abwehr auszulösen. Die Services von Azure Sentinel werden über die Microsoft Cloud-Plattform Azure erbracht und sind seit dem Jahr 2019 für Anwender verfügbar.

Azure Sentinel sammelt Daten lokaler und cloud-basierter IT-Umgebungen. Beispielsweise sind dies Logdateien von Servern und Netzkomponenten, Anwendungsdaten oder Daten über Benutzerinteraktionen. Diese Daten werden mithilfe Künstlicher Intelligenz (KI) und Maschinellen Lernens (ML) analysiert. Die intelligenten Algorithmen finden Anomalien in den Daten und erkennen Sicherheitsbedrohungen. Auf diese Bedrohungen kann Azure Sentinel dann automatisiert reagieren.

Da sich in Azure Sentinel nahezu beliebige Quellen und IT-Komponenten integrieren lassen, bietet sich ein umfassender Überblick über die Sicherheitslage der IT. Das automatisierte Reagieren auf Bedrohungen senkt das Sicherheitsrisiko für die IT-Umgebung. Azure Sentinel ist skalierbar, vollständig in das Azure-Portal und in andere Azure-Dienste integriert und als zentrale Sicherheitslösung für die Unternehmens-IT einsetzbar. Die Leistungen werden nutzungsbasiert abgerechnet. Grundsätzlich bietet sich neben der nutzungsbasierten Bezahlung die Möglichkeit der Kapazitätsreservierungen. Während bei der nutzungbasierten Bezahlung die Kosten von Faktoren wie den gesammelten und analysierten Datenmengen abhängen, lassen sich bei den Kapazitätsreservierungen die Azure-Leistungen über festgelegte, rabattierte Gebühren bezahlen.

Grundsätzliches zu SIEM und SOAR

Um Azure Sentinel besser zu verstehen, zunächst eine kurze Erklärung der Begriffe Security Information and Event Management (SIEM) und Security Orchestration Automated Response (SOAR). Bei einer SIEM-Lösung handelt es sich um ein softwarebasiertes Technologiekonzept, mit dem sich die IT-Sicherheit ganzheitlich managen lässt. SIEM kombiniert das Security Information Management (SIM) und das Security Event Management (SEM), indem es Logdaten, Alarme und andere Meldungen von IT-Komponenten wie Servern, Netzwerkgeräten, Anwendungen oder Services sammelt, aggregiert und analysiert. Dadurch lassen sich Anomalien, Sicherheitsbedrohungen und Angriffe nahezu in Echtzeit erkennen, um darauf angemessen zu reagieren.

Eine SOAR-Lösung geht noch einen Schritt weiter. Sie reagiert automatisiert auf erkannte Sicherheitsbedrohungen, ohne dass IT- und Security-Fachkräfte eingreifen müssen. Während also eine SOAR-Lösung in der Lage ist, auf erkannte Bedrohungen automatisiert Maßnahmen zur Abwehr zu ergreifen, konzentriert sich die SIEM-Lösung mehr auf die Analyse der gesammelten Daten, das Erkennen von Anomalien, Bedrohungen und Angriffen. Sie kann zwar automatisiert alarmieren, erfordert aber zur Abwehr der Angriffe manuelles Eingreifen der Sicherheits- und IT-Experten. Für einen optimalen Schutz der Unternehmens-IT und die Verbesserung der Cyber Security verschmelzen heutzutage viele Anbieter SOAR- und SIEM-Lösungen miteinander. Auch bei Azure Sentinel handelt es sich um eine kombinierte Lösung für Security Information and Event Management und Security Orchestration Automated Response.

Funktionsumfang und Funktionsprinzip von Azure Sentinel

Azure Sentinel bietet folgende grundlegenden Funktionen:

  • Erfassen, Sammeln und Aggregieren von Daten lokaler oder cloud-basierter IT-Umgebungen;
  • Analysieren der gesammelten Daten unter anderem mithilfe Künstlicher Intelligenz und Maschinellen Lernens;
  • Erkennen von Anomalien, Bedrohungen und Angriffen auf die IT-Systeme;
  • Verwaltung und Reporting der erkannten sicherheitsrelevanten Ereignisse;
  • automatisiertes Reagieren zur Abwehr der Sicherheitsbedrohungen.

Um die Daten zu erfassen und zu sammeln, verfügt Azure Sentinel über eine Vielzahl vorkonfigurierter oder individuell anpassbarer Datenkonnektoren für unterschiedliche Quellen wie Azure-Services, Cloud-Dienste anderer Anbieter wie AWS-Services und Meldungen im Syslog-, CEF- (Common Event Format) und TAXII- Format (Trusted Automated eXchange of Indicator Information). Datensammlungen über REST-APIs werden ebenfalls unterstützt. Azure Log Analytics speichert die Daten und bildet die Basis für die weiteren Analysen mit Hilfe Künstlicher Intelligenz und Maschinellem Lernen. Zur Visualisierung der Daten in Azure Sentinel lassen sich sogenannte Arbeitsmappen einsetzen. Erkannte Anomalien oder Bedrohungen erzeugen Incidents und leiten automatisierte Reaktionen ein. Hierfür nutzt Azure Sentinel Automatisierungsplaybooks.

Vorteile durch den Einsatz von Azure Sentinel

Azure Sentinel bietet als cloudbasierte, kombinierte SIEM- und SOAR-Lösung zahlreiche Vorteile. Da Azure Sentinel als vollwertiger Azure-Service angeboten wird, muss keine Software lokal oder auf Cloud-Systemen installiert werden. Azure Sentinel ist direkt innerhalb weniger Minuten einsetzbar und erfordert keine Investition in Hard- oder Software. Die SIEM- und SOAR-Lösung lässt sich über das Azure-Portal einrichten und erlaubt die Einbindung nahezu beliebige lokaler oder cloud-basierter IT-Komponenten, -Services und -Anwendungen diverser Anbieter. Die komplette IT-Umgebung eines Unternehmens lässt sich in die Sicherheitslösung integrieren.

Durch die zahlreichen bereits vorhandenen Datenkonnektoren und die Unterstützung verschiedener Formate und APIs ist das Erfassen der Daten unterschiedlichster Quellen möglich. Intelligente KI-Algorithmen und Machine Learning sorgen für die zuverlässige und schnelle Erkennung von Anomalien, Bedrohungen und Angriffen und reduzieren das Risiko für Falschmeldungen. Auch eigene Machine-Learning-Modelle lassen sich in den Service einbringen. Dank integrierter Orchestrierung ist Azure Sentinel in der Lage, automatisiert auf erkannte Bedrohungen zu reagieren und Angriffe abzuwehren, ohne dass Personen manuell eingreifen müssen.

Azure Sentinel ist extrem skalierbar. Die Abrechnung erfolgt nutzungsbasiert oder auf Basis zuvor festgelegter Kapazitätsreservierungen. Nutzer zahlen nur für tatsächlich in Anspruch genommene Leistungen. Gegenüber selbst betriebenen SIEM- und SOAR-Lösungen entsteht eine hohe Kosteneffizienz und -transparenz.

Zusammengefasst ...

... sind die Vorteile durch den Einsatz von Azure Sentinel als SIEM- und SOAR-Lösung folgende:

  • keine Investition in Hard- oder Software;
  • ohne Installationsaufwand sofort einsetzbar;
  • vollständig in die Azure-Cloud-Plattform integriert;
  • Einbindung beliebiger lokaler oder cloud-basierter IT-Umgebungen und -Komponenten;
  • Datenkonnektoren auch für andere Cloud-Anbieter;
  • Unterstützung verschiedener Datenformate und APIs für die Datensammlungen;
  • Bedrohungsanalyse mithilfe Künstlicher Intelligenz und Machine Learning – schnelles und zuverlässiges Erkennen von Bedrohungen der IT-Sicherheit;
  • automatisierte, schnelle und angemessene Reaktion auf erkannte Bedrohungen;
  • gute Skalierbarkeit der Lösung;
  • nutzungsbasierte Abrechnung oder Abrechnung auf Basis zuvor festgelegter Kapazitätsreservierungen;
  • Reduzierung der IT-Kosten;
  • hohe Kostentransparenz;
  • einsetzbar zur Dokumentation sicherheitsrelevanter Ereignisse und zur Erfüllung gesetzlicher Vorgaben oder Compliance-Anforderungen.

(ID:47060194)

Über den Autor