הקמה והגדרת Azure Sentinel

מאמר ראשון בסדרת מאמרים של Azure Sentinel להפעלה, הגדרה והקמת שירות SIEM מבוסס Azure Sentinel אשר כולל אוטומציות, תחקור אירועים ושילוב עם כלים נוספים כמו Microsoft XDR והשילוב של Azure Lighthouse.

המאמר הנוכחי הינו מאמר כללי והקדמה של Azure Sentinel.

אז איזה שירות כדאי להקים? MDR או לשלב עם כלי אבטחה ומערכות הגנה המבוססים על XDR או אולי שירות SIEM as a Service או SOC מנוהל? הבדלים רבים ומהותיים בין כל אחד מהמושגים הנ"ל וכל אחד מייצג פתרון/שירות/כלי ספציפי.

הקמה של שירות Azure Sentinel היא אירוע לכל דבר בארגון כמו בכל הקמת שירות SIEM ארגוני, אך בניגוד למערכות SIEM אחרות הקמת Azure Sentinel מביאה בשורה חדשה בכל התהליך של ניהול SIEM ארגוני החל מהטכנולוגיה, דרך התהליכים וחשוב מכל האנשים שמתחזקים את הטכנולוגיה.

מה הבשורה החדשה שמביא איתו Azure Sentinel? השירות של Azure Sentinel מחבר את כל הנקודות יחדיו, כלומר הוא עצמו מכיל תשתית ספציפית אך מחבר טכנולוגיות אחרות כדוגמת: Log Analytics, Azure Notebook, Security Playbook, שפות שונות כמו Python וכן KQL וחשוב מכל הטכנולוגיות AI של Azure.

לצד התממשקות פשוטה מול טכנולוגיות מבוססות Microsoft וכן טכנולוגיות צד שלישי שמאפשרות לאמץ את הטכנולוגיה באופן מהיר.

כאשר לוקחים את כל הטכנולוגיות הנ"ל ומחברים אותם יחד מקבלים תשתית SIEM מתקדמת עם יכולות דיווח מתקדמות, אפשרויות תחקור פסיכיות, מנגנון לזיהוי בעיות אבטחה (מהיר בהשוואה לאחרים), יכולות לחיזוי התקפות מדויקות ויכולות נוספות.

הפערים

למה תהום? בגלל מספר סיבות, כגון, איזה תרחישים להעלות? האם תהיה אוטומציה? מי מגיב לבעיות אבטחה? האם רמת הידע של כלל האנשים המתפעלים את המערכת היא ברמת אותו ידע? אלה ועוד שאלות נוספות הם ההבדל בין ניהול תשתית SIEM בצורה נכונה בענן לבין ניהול תשתית SIEM מקומית.

והשאלה הגדולה האם השירות יהיה פנים ארגוני או שירות חיצוני ???

רגע לפני "שדופקים על הפטיש" ומתחילים לרוץ על הפעלה, התקנה והגדרות צריך לבצע תכנון כי אחרי הכל מדובר על תשתית SIEM ארגונית, ולכן מכאן זה לוקח אותנו אל כמה דגשים שעליהם נחזור בכל הזדמנות, תשתית SIEM מבוססת על כמה נקודות בסיסיות וקריטיות:

אנשים – החלק מהותי בביצוע פעולות התחקור ועבודה יומיומית של תשתית SIEM עם אנשים בעלי הבנה מתקדמת ומעמיקה בתחום החל מהשכבות הנמוכות

תהליכים – חלק קריטי בשגרות היומיומיות, במצבי קצה ובאירועי אבטחה, למשל הפעלת אנשים ופעולות לפי נהלים מבוססים P1/P2 או לפי סוגי תרחישים

תיחום – מידע, נתונים, לוגים וסוגי תרחישים חייבים לקבל מסגרת לאחר איפיון וזאת בכדי למנוע מצבים של הצפת מידע, מצבים של בעיות בזיהוי בעיות אמיתיות, התראה לסוגי תרחישים מסוימים וכן הלאה.

מודל אבטחה – שייך לעבודה כללית של אבטחת מידע בארגון והוא על סמך המודל שאיתו מבצעים הגנה בארגון, למשל מודל KillChain שעליו בונים את שכבות ההגנה בארגון או יצירת גרפים לתשתיות אגוניות במטרה להגן על הדכרים שמוכרים או הדברים שאינם מוכרים.

טכנולוגיה – לאחר שסיימנו להבין ולתכנן את הארכיקטורה של תשתית SIEM אנו צריכים להתחיל בהגדרות של כלל הרכיבים הקיימים בשירות Azure Sentinel.

תשתית Azure Sentinel

מערכת Azure Sentinel הינה מערכת SIEM מבוססת ענן המושתת בין היתר על מערכות ענן קיימות וכן תשתית ענן חדשה, Azure Sentinel הינה מערכת SIEM מהדור החדש המאפשרת לחבר את כלל מערכות האבטחה בארגון, בין אם מדובר על מערכת Microsoft או מערכות אבטחה צד שלישי וע"י כך לקבל תמונה כולל של מערך האבטחה בארגון.

בנוסף לכך Azure Sentinel מאפשר לבצע מעקב אחר כל מערכת באופן פרטני במיוחד, מאפשר לבצע תחקור מעמיק על כל אירוע וכן ומענה אוטומטי לפי workflow ייעודי. מכיוון שמערכת Azure Sentinel מבוססת על רכיבים של Azure כדוגמת Playbook וכן Log Analytics או יכולים לקסטם את המערכת בצורה חכמה יותר ולאפשר אוטומציה מקצה לקצה.

ארכיטקטורה כללית

תשתית Azure Sentinel מבוססת על Azure ומורכבת מהמון רכיבים חדשים וכן רכיבים קיימים בשירות Azure.

מכיוון שמדובר על מערכת ענן אין לנו צורך בהקתנה של Appliance או רכיבי חומרה כלשהם בתשתית המקומית.

רכיב Log Analytics – רכיב מבוסס Azure מוכר וידוע שמאפשר לבצע איסוף לוגים ומידע מתוך שרתים, התקני קצה ואפליקציות ומאפשר בין היתר את היכולות הבאות:

• איסוף מידע לפי דרישה ומול מגוון סוגי לוגים ומערכות
• גיבוי והגנה על הנתונים והשרתים בארגון
• אוטומציה מול תהליכי בענן או תהליכי On-premises
• מעקב אחר אבטחת מידע בארגון וזיהוי בעיות
• מעקב פרואקטיבי אחר שרתים, אפליקציות ומערכות ארגוניות
• יכולות ניהול חדשות עם פורטל פשוט מאד

רכיב Collector – רכיב Data Collection שתפקידו לבצע איסוף מידע וכן קבלת לוגים מכלל הרכיבים השונים, מכיוון שישנם לא מעט סוגי לוגים וכן פורמטים שונים רכיב Data Collector יבצע איסוף מכלל הפורמטים הקיימים כיום בין אם מדובר על הנפוץ מבינהם שהוא Syslog ואפילו כאלה שעובדים על גבי Json.

איסוף הלוגים נעשה לפי מספר קונקטורים:

• קונקטור למערכות Microsoft שהוא למעשה קונקטור Native ומאפשר שליחת כלל הפעולות והלוגים אל Azure Sentinel
• שליחה ע"י שרת ספציפי כדוגמת שרת Syslog אל שירות Sentinel
• שליחת לוגים ופעולות ע"י קונקטור מבוסס Agent שניתן להתקנה על מערכות שונות

רכיב Compression – דחיסת המידע שעובר על גבי הרשת הינו חשוב ולכן המידע אשר עובר לתשתית Azure Sentinel עובר על גבי קו ייעודי או התקשורת הכללית של הארגון. המידע אשר נשלח הינו מידע אשר עובר דחיסה

רכיב Parsing -המידע אשר מגיע לתשתית Azure Sentinel הינו מידע לא מעובד ולכן תפקידו לנתח, לפרק ולהבין את הלוגים אשר הגיעו למערכת, ולכן רכיב Parsing מבצע ניתוח לכלל הלוגים אשר נשלחים מתוך מערכות אבטחת המידע, מחלק את הלוגים לפי קטגוריות ומקטלג לוגים אשר הוגדרו כאירוע אבטחה.

תשתית Azure Sentinel מנתח את הלוג לפי פרמטרים שונים ומכילה Parsers אשר נותן משמעות לכל לוג אשר מגיע למערכת ובכדי שאותו לוג יהיו נגיש במערכת בצורה מובנת.

רכיב Correlation – לאחר שכל אותם לוגים הגיעו למערכת ועברו parsing, מגיע רכיב אשר מבצע ניתוח של המידע ותפקידו העיקרי הוא:

• מבצע קורלציה של המידע בין המערכות השונות
• מקטלג את הלוג כמידע רגיל או אירוע אבטחה (חשוב להדגיש כי התנאי שאירוע יוגדר כאירוע אבטחה תלוי לפי תנאים וחוקים מוגדרים מראש)

רכיב Analytics – רכיב המבוסס על מידע אשר נאסף במערכת ונועד להפעלת תנאים על אירוע אבטחה, מכיוון שאותם לוגים כבר הגיעו אל המערכת ועברו פרסינג וקיבלו קטגוריה מסוימת, כעת אנו נדרשים לנגדיר את התנאי אשר חל אותו מידע. ברכיב זה מתאפשרת גם אוטומציה של המידע לפי workflow אשר מוגדר מראש.

מכיוון שישנם תרחישים שונים ניתן להגדיר קבוצה של חוקים המגדירים ל-Correlation Unit כיצד להתייחס למידע והלוגים השונים.

רכיב Fusion – תשתית Azure Sentinel כוללת יכולות למידה המבוססים על תשתית Machine Learning של Azure, ולכן מטרת רכיב fusion היא לאפשר לנו להשתמש בכל סוגי המידע (לא  במידע עצמו אלא רק בסוגי המידע) אשר קיימים בענן וע"י כך לקבל "פדרציה" של המידע.

המידע אשר מתקבל בשירות Azure הוא המבוסס על סנסורים וסיגנלים ולכן אירוע שהיה בארגון בקצה השני של העולם רלוונטי לארגון אחר שמקבל מידע.

רכיב Playbook -רכיב security playbook המבוסס בין היתר על רכיב Logic Apps שמאפשר לבצע אוטומציה ותגובה לתהליכים באופן אוטומטי (או ידני) ומוגדר מראש.

בתרחישים בהם ישנו אירוע ניתן להגיב על אותו אירוע באמצעות security playbook לפי מאפיינים שונים, כדוגמת: במידה וישנו טריגר לאירוע נוכל לפתוח קריאה באופן אוטומטי במערכת טיקטים, במקביל המערכת שולחת התראה למייל או למכשיר הנייד, לאחר מכן המערכת תבצע מענה אוטומטי של השהיית הגישה למערכת על גבי אותו מערכת זהויות.

רכיב Azure Notebook – תשתית Azure Notebook היא תשתית אשר מבוססת על קוד פתוח ומאפשרת לבצע פיתוחים ולהריץ קוד של שפות שונות על גבי Jupyter (בעבר IPython) באמצעות דפדפן וללא צורך בהתקנות מוקדמות.

Azure Notebooks היא תשתית קוד פתוח המאפשרת לבצע פיתוחים ועבודה עם קוד ובין היתר מאפשרת עבודה עם סוגי טקסט, כתיבת קוד, נתונים ומידע, אפשרויות גרפיות והכל מתוך מקום אחד באמצעות דפדפן. כיום, Azure Notebook הוא כלי נפוץ במימושים של למידת מכונה, סטטיסטיקות, חיזוי נתונים, עבודה של אנשי דאטה, הנגשת או הדמיית מידע ויכולות נוספות.

מאמרים נוספים בסדרת הקמה והגדרת Azure Sentinel

• Azure Notebooks מאיפה להתחיל
• העברת Security event לשירות Azure Sentinel