Introducción a Microsoft Azure Sentinel, análisis de seguridad inteligente para toda la empresa

Publicado el 28 febrero, 2019

Director of Product Management, Microsoft Azure Sentinel

La seguridad puede ser una historia interminable, una crónica de ataques cada vez más sofisticados, volúmenes de alertas y períodos de resolución prolongados en los que los productos SIEM (Administración de eventos e información de seguridad) de hoy día no pueden seguir el ritmo.

Los equipos de SecOps se ven desbordados por el elevado volumen de alertas y dedican demasiado tiempo a tareas como la configuración y el mantenimiento de la infraestructura. El resultado es que muchas alertas reales pasan inadvertidas. El déficit de 3,5 millones de profesionales de la seguridad que se espera que haya en 2021 aumentará aún más los desafíos a los que se enfrentan los equipos de operaciones de seguridad. Usted necesita una solución que amplíe la capacidad de su equipo de SecOps actual para ver las amenazas con más claridad y eliminar distracciones.

Ese es el motivo por el que reinventamos la herramienta SIEM como una nueva solución nativa en la nube denominada Microsoft Azure Sentinel. Azure Sentinel proporciona análisis de seguridad inteligente a escala de nube para toda la empresa. Con Azure Sentinel, es muy fácil recopilar datos de seguridad de toda una organización híbrida, desde los dispositivos, los usuarios y las aplicaciones hasta servidores en cualquier nube.  Utiliza el poder de la inteligencia artificial para asegurar que identifica amenazas reales con rapidez y le libera de la carga de las soluciones SIEM tradicionales, porque elimina la necesidad de dedicar tiempo a la configuración, el mantenimiento y el escalado de la infraestructura. Al estar basado en Azure, ofrece escala de nube y velocidad casi ilimitadas para hacer frente a sus necesidades de seguridad. También se ha demostrado que usar y tener en propiedad las soluciones SIEM tradicionales resulta caro. A menudo, requieren un compromiso inicial y un costo elevado por el mantenimiento de la infraestructura y la ingesta de datos. Con Azure Sentinel no hay pagos por adelantado, solo paga por lo que usa.

Muchas empresas utilizan Office 365 y cada vez son más las que adoptan las ofertas de seguridad avanzada y cumplimiento normativo que incluye Microsoft 365. Hay muchos casos en los que desea combinar datos de seguridad de los usuarios y las aplicaciones de los puntos de conexión con información de la infraestructura y datos de terceros para comprender un ataque completo.

Sería ideal si pudiera hacerlo dentro de los límites de cumplimiento normativo de un único proveedor de nube. Hoy anunciamos que puede incorporar los datos de actividad de Office 365 a Azure Sentinel de forma gratuita. Solo se requieren algunos clics para retener los datos en la nube de Microsoft.

“Con Microsoft Azure Sentinel, podemos afrontar mejor los principales desafíos SIEM para nuestros clientes, además de simplificar la residencia de los datos y el cumplimiento del RGPD”.

Andrew Winkelmann, jefe de Consultoría de seguridad global, Accenture

Panel de información general de Azure Sentinel

Veamos cómo puede ayudarle Azure Sentinel a ofrecer operaciones de seguridad nativas en la nube:

Recopilar datos de toda la empresa con facilidad: con Azure Sentinel, puede agregar todos los datos de seguridad con conectores integrados, señales de Microsoft integradas de forma nativa y compatibilidad con formatos de registro estándar del sector (por ejemplo, Common Event Format y syslog). Con solo algunos clic, puede importar sus datos de Microsoft Office 365 gratis y combinarlos con otros datos de seguridad para analizarlos. Azure Sentinel utiliza Azure Monitor, que se fundamenta en una base de datos de análisis de registros probada y escalable que ingiere más de 10 petabytes cada día y proporciona un motor de consulta muy rápido que puede revisar millones de registros en segundos.

Seguimos colaborando con muchos asociados en la Asociación de seguridad inteligente de Microsoft. Azure Sentinel se conecta a las soluciones más populares, como Palo Alto Networks, F5, Symantec, Fortinet, Check Point y otras muchas que se irán incorporando. Azure Sentinel se integra también con la API Microsoft Graph Security, de modo que puede importar sus propias fuentes de información sobre amenazas y personalizar la detección de estas últimas y de las reglas de alertas. Hay paneles personalizados que ofrecen una vista optimizada para su caso de uso específico.

Adam Geller, primer vicepresidente, SaaS, virtualización y seguridad suministrada en la nube de Palo Alto Networks, afirmó: “Estamos encantados con nuestra colaboración actual con Microsoft y el trabajo que estamos realizando para ofrecer a nuestros clientes comunes una mayor orquestación de la seguridad. Esta última integración permite a los clientes reenviar a Azure Sentinel sus registros de firewall físicos y virtualizados de próxima generación y usar paneles personalizados e inteligencia artificial para detectar posibles incidentes de seguridad con rapidez. Los clientes de Palo Alto Networks pueden ampliar también AutoFocus y otra información sobre amenazas de terceros a Azure Sentinel gracias a la nueva integración entre MineMeld y la API Microsoft Graph Security”.

Analizar y detectar amenazas rápidamente con inteligencia artificial en su entorno: los analistas de seguridad se enfrentan a la carga enorme que supone evaluar la prioridad de una infinidad de alertas y poner en correlación alertas de productos diferentes de forma manual o usando un motor de correlación tradicional. Este es el motivo por el que Azure Sentinel utiliza avanzados algoritmos de aprendizaje automático escalables para poner en correlación millones de anomalías de baja fidelidad y presentar al analistas unos cuantos incidentes de seguridad de alta fidelidad. Las tecnologías de aprendizaje automático le ayudan a obtener valor con rapidez de las grandes cantidades de datos de seguridad que ingiere su sistema y unen los puntos por usted. Por ejemplo, puede ver rápidamente una cuenta comprometida que hayan usado para implementar ransomware en una aplicación en la nube. Esto permite reducir el ruido de forma drástica. De hecho, hemos visto una reducción global del 90 % en la fatiga por alertas durante las evaluaciones. Los usuarios pioneros están viendo las ventajas de la detección de amenazas con inteligencia artificial. Reed M. Wiedower, director de Tecnología de New Signature, afirmó: “Vemos un gran valor en Azure Sentinel por su capacidad para generar conclusiones en toda una matriz enorme de piezas de infraestructura diferentes”.

Estos modelos de Machine Learning integrados se basan en el aprendizaje que ha adquirido el equipo de seguridad de Microsoft a lo largo de muchos años de defensa de los recursos de nuestros clientes en la nube. No tiene que ser un científico de datos para aprovechar el uso de estas ventajas. Solo tiene que activarlas. Por supuesto, si es un científico de datos y desea personalizar y mejorar las detecciones, puede incorporar sus propios modelos a Azure Sentinel a través del servicio integrado Azure Machine Learning Service. Además, Azure Sentinel se puede conectar a datos de comportamiento y actividad de los usuarios de los productos de seguridad de Microsoft 365, que se pueden combinar con otros orígenes para poder ver una secuencia de ataque completa.

Investigar y buscar actividad sospechosa: la investigación gráfica y basada en inteligencia artificial reduce el tiempo que se tarda en comprender el ámbito completo de un ataque y sus consecuencias. Puede visualizar el ataque y tomar medidas de inmediato en el mismo panel.  

Flujo de trabajo de la investigación gráfica y basada en inteligencia artificial

La búsqueda proactiva de actividad sospechosa es otra tarea fundamental para el análisis de seguridad. A menudo, el proceso que utilizan los equipos de SecOps para recopilar y analizar los datos es un proceso repetible que se puede automatizar. Actualmente, Azure Sentinel proporciona dos características que permiten automatizar los análisis mediante la creación de consultas de búsqueda y cuadernos de Azure Notebooks que se basan en los cuadernos de Jupyter Notebook. Hemos desarrollado un conjunto de consultas y cuadernos de Azure Notebooks basados en la búsqueda proactiva que llevan a cabo los equipos de respuesta a incidentes y análisis de amenazas de Microsoft. A medida que evolucione el panorama de las amenazas, evolucionarán también nuestras consultas y los cuadernos de Azure Notebooks. Proporcionaremos nuevas consultas y cuadernos de Azure Notebooks a través de la comunidad de Azure Sentinel en GitHub.

Automatizar tareas comunes y la respuesta a amenazas: si bien la inteligencia artificial mejora el enfoque para la búsqueda de problemas, una vez que ha solucionado un problema no quiere encontrárselo una y otra vez, sino automatizar la respuesta a ese problema. Azure Sentinel proporciona automatización y orquestación integradas con cuadernos de estrategias predefinidos o personalizados para solucionar tareas repetitivas y responder a las amenazas con prontitud. Azure Sentinel aumenta las herramientas empresariales de investigación y defensa actuales, incluidos los mejores productos de seguridad, herramientas propias y otros sistemas, como las aplicaciones de administración de RR. HH. y sistemas de administración de flujos de trabajo, como ServiceNow.

Automatización integrada con cuadernos predefinidos o personalizados en Azure Sentinel

La información sobre amenazas sin parangón que posee Microsoft, basada en el análisis de más de 6,5 billones de señales a diario y décadas de experiencia en materia de seguridad a escala de nube, le ayudará a modernizar sus operaciones de seguridad.

“Azure Sentinel proporciona una solución SIEM proactiva y con gran capacidad de respuesta que funciona de forma nativa en la nube y que ayudará a los clientes a simplificar sus operaciones de seguridad y a escalarlas a media que su negocio crezca”.

Richard Diver, arquitecto de seguridad en la nube, Insight Enterprises

La seguridad no tiene por qué ser una historia interminable. Al contrario, ponga la nube y la inteligencia a gran escala a trabajar. Utilice inteligencia artificial (IA) para lograr una protección más inteligente y rápida frente a las amenazas. Importe datos de Microsoft Office 365 para el análisis de seguridad de forma gratuita. Comience a usar Microsoft Azure Sentinel.

Microsoft Azure Sentinel está disponible actualmente en versión preliminar en Azure Portal.