Disponibilidad general de Azure Sentinel: Una solución de SIEM moderna rediseñada en la nube

Publicado el 26 septiembre, 2019

Director, Cloud+AI Security

A principios de esta semana, anunciamos que Azure Sentinel ya está disponible con carácter general. Esto marca un hito importante en nuestro recorrido para redefinir la Administración de eventos e información de seguridad (SIEM) para la era de la nube. Con Azure Sentinel, las empresas de todo el mundo pueden seguir el ritmo del crecimiento exponencial de los datos de seguridad, mejorar los resultados de la seguridad sin agregar recursos de analistas y reducir los costos operativos y de hardware.

Con la ayuda de los clientes y partners, más los comentarios de más de 12 000 pruebas durante la versión preliminar, hemos diseñado Azure Sentinel para reunir la eficacia de Azure y la IA a fin de permitir que los centros de operaciones de seguridad logren más. Existen muchas nuevas funcionalidades que estarán en línea esta semana. Aquí le mostraremos varias de ellas.

Recopilación y análisis de un volumen casi ilimitado de datos de seguridad

Con Azure Sentinel, nuestra misión es mejorar la seguridad de toda la empresa. Muchos orígenes de datos de Microsoft y otros que no son de Microsoft están integrados en y se pueden habilitar con un solo clic. Nuevos conectores para servicios de Microsoft, como Cloud App Security e Information Protection, se unen una lista cada vez más extensa de conectores de terceros para que sea más fácil que nunca ingerir y analizar datos de toda su información digital.

Workbooks ofrece opciones de visualización enriquecidas para obtener información sobre sus datos. Use o modifique un libro existente, o cree el suyo.

image

Aplique análisis, incluido Machine Learning, para detectar amenazas

Ahora puede elegir entre más de 100 reglas de alerta integradas o usar el nuevo asistente para alertas con el fin de crear la suya. Las alertas se pueden desencadenar con un solo evento o en función de un umbral, o mediante la correlación de distintos conjuntos de datos (por ejemplo, eventos que coinciden con indicadores de amenazas) o mediante algoritmos integrados de aprendizaje automático.

image

Estamos creando la versión preliminar de dos nuevos métodos de aprendizaje automático que ofrecen a los clientes las ventajas de la IA sin su complejidad. En primer lugar, se aplican modelos de Machine Learning comerciales probados para identificar inicios de sesión sospechosos en servicios de identidad de Microsoft para detectar accesos de SSH malintencionados. Mediante el aprendizaje transferido de los modelos de Machine Learning existentes, Azure Sentinel puede detectar anomalías a partir de un conjunto de datos único con precisión. Además, usamos una técnica de Machine Learning denominada “fusión” para conectar datos de varios orígenes, como inicios de sesión anómalos de Azure AD y actividades sospechosas de Office 365, para detectar 35 amenazas diferentes que abarcan distintos puntos en la cadena de eliminación.

Acelere la búsqueda de amenazas, la investigación de incidentes y la respuesta

La búsqueda proactiva de amenazas es una tarea crítica, pero que consume mucho tiempo de los Centros de operaciones de seguridad. Azure Sentinel facilita este proceso con una interfaz de búsqueda enriquecida que incluye una colección cada vez mayor de consultas de búsqueda, consultas exploratorias y bibliotecas de Python para su uso en los Jupyter Notebooks. Úsela para identificar eventos de interés y marcarlos para consultarlos más adelante.

image

Los incidentes (anteriormente, denominados casos) contienen una o varias alertas que requieren más investigación. Los incidentes ahora admiten etiquetas, comentarios y asignaciones. Un nuevo asistente de reglas le permite decidir qué alertas de Microsoft desencadenan la creación de incidentes.

image

Con la nueva versión preliminar del gráfico de investigación, puede visualizar y recorrer las conexiones entre las entidades, como usuarios, recursos, aplicaciones o direcciones URL, y actividades relacionadas, como inicios de sesión, transferencias de datos o el uso de la aplicación, para comprender rápidamente el ámbito e impacto de un incidente.

image

Las nuevas acciones y los cuadernos de estrategias simplifican el proceso de automatización de incidentes y la corrección mediante Azure Logic Apps. Envíe un correo electrónico para validar una acción del usuario, enriquecer un incidente con datos de geolocalización, bloquear un usuario sospechoso y aislar un equipo Windows.

image

Creado en función de los conocimientos de Microsoft y los miembros de la comunidad

El repositorio de Azure Sentinel GitHub ha aumentado a más de 400 consultas de detección, exploración y búsqueda, además de ejemplos de Azure Notebooks y bibliotecas, ejemplos de cuadernos de estrategias y analizadores de Python relacionados. La mayor parte de ellos las desarrollaron nuestros investigadores de seguridad de MSTIC en función de su gran experiencia global en seguridad e inteligencia de amenazas.

image

Compatibilidad con proveedores de servicios de seguridad administrada e instancias de cliente complejas

Azure Sentinel ahora funciona con Azure Lighthouse, lo que permite a los clientes y a los proveedores de servicios de seguridad administrada (MSSP) ver Azure Sentinel para varios inquilinos sin necesidad de desplazarse entre ellos. Hemos trabajado estrechamente con nuestros partners para desarrollar en conjunto una solución que aborde sus requisitos para una solución de SIEM moderna. 

La tecnología DXC, uno de los MSSP globales más grandes, es un ejemplo excelente de esta asociación de diseño:

“A través de nuestra asociación estratégica con Microsoft y como miembro del Consejo de asesoramiento de asociados de seguridad de Microsoft, DXC integrará e implementará Azure Sentinel en las soluciones de defensa cibernética y las operaciones de seguridad inteligente que ofrecemos a nuestros clientes”, dijo Mark Hughes, vicepresidente sénior y gerente general de Seguridad en DXC. “Nuestra solución integrada aprovecha las capacidades nativas de la nube y los recursos de Azure Sentinel para organizar y automatizar grandes volúmenes de incidentes de seguridad, lo que permite a nuestros expertos en seguridad centrarse en la investigación forense de amenazas e incidentes de alta prioridad”.

Introducción

Es muy fácil ponerse en marcha. Tenemos una gran cantidad de información disponible para ayudarle, desde documentación excelente hasta la posibilidad de contactarnos a través de Yammer y el correo electrónico.

Únase al seminario web del jueves 26 de septiembre a las 10:00 a. m. Hora del Pacífico para obtener más información sobre estas innovaciones y vea ejemplos reales de cómo Azure Sentinel ayudó a descubrir amenazas que no se habían detectado.

Qué es lo próximo

Azure Sentinel es nuestra plataforma de SOC para el futuro, y continuaremos optimizándola para satisfacer mejor las necesidades de seguridad del mundo complejo en el que vivimos. Manténgase en contacto: