Microsoft Sentinel: effectief actie ondernemen tegen bedreigingen

Hoe werkt Microsoft Sentinel?

Er zijn verschillende gegevensbronnen die je moet bewaken binnen je school of stichting. Denk aan:

• besturingssystemen (eindpunten) zoals Windows 10, Windows Server, Linux, MacOS, iOS, Android;
• clouddiensten zoals Exchange Online, SharePoint Online, Dropbox, Salesforce;
• Identity Services zoals Azure Active Directory of Active Directory;
• derde partij clouds (vanuit Microsoft gezien) zoals AWS, Google Cloud, Zscaler;
• hardware logs van Firewalls;
• Azure Infrastructure as a Service.

Microsoft Sentinel (voorheen Azure Sentinel) is een SIEM-oplossing die gegevens en beveiligingsincidenten uit allerlei bronnen (ook niet-Microsoft) verzamelt en deze samenbrengt in één centrale applicatie. Denk aan gegevens over gebruikers, toepassingen, servers en apparaten. Zowel on-premises, in elke willekeurige cloud of je eigen datacenter. Ook kun je met de ingebouwde connectors eenvoudig (externe) beveiligingsoplossingen en remote locaties verbinden. Zo verzamel je gegevens uit daadwerkelijk alle bronnen (zelfs open source) en heb je een goed overzicht van alle beveiligingsincidenten.

Automatisch actie ondernemen tegen bedreigingen

Via de automatiseringsregels in Microsoft Sentinel onderneem je automatisch actie op bepaalde beveiligingsincidenten. Dit is noodzakelijk bij incidenten waarbij je snel moet handelen om schade te beperken. Denk maar aan een hack midden in de nacht. Handmatig is dit lastig bijhouden, al helemaal wanneer er veel apparaten en gebruikers zijn.

Met Microsoft Sentinel automatiseer je acties op dit soort incidenten: 'bekende' bedreigingen of eigen situaties. Dat scheelt een hoop werk en zorgt er uiteindelijk voor dat je als school of stichting beter bent beveiligd! Daarbij kun je op basis van gedragspatronen bij gebruikers inschatten of iets daadwerkelijk een bedreiging is of niet.

Microsoft Sentinel versus Microsoft 365 Defender

Gebruiken jullie Microsoft 365 Defender producten uit de A5 bundel? Hiermee kun je ook automatisch actie ondernemen op bedreigingen. Is het dan nodig om Sentinel af te nemen?

De oplossingen zijn met elkaar te integreren. Microsoft Sentinel is bijvoorbeeld een goede aanvulling op Azure Security Center (wanneer je servers in Azure of bijvoorbeeld op Amazon draait). Maar ook zeker op Microsoft Defender 365 (wanneer je de werkplek, apparaten, identiteiten en e-mail wilt beveiligen).

Wil je endpoints (apparaten), services en identiteiten beschermen? Dan zal Defender waarschijnlijk al volstaan. Maar wanneer je derde partij cloudsystemen, firewalllogboeken of andere logsystemen wil opnemen, heb je eigenlijk Microsoft Sentinel nodig. Sterker nog: Sommige Microsoft Sentinel regels vereisen zelfs een Microsoft Defender for Endpoint of A5 licentie.

Nog een aantal kenmerken en verschillen:

• Microsoft Defender for Endpoint beschermt echt het apparaat (de endpoint) en stopt bedreigingen wanneer ze zich voordoen. Microsoft Sentinel doet dit niet. Daar heb je geen up-to-date dreigingsinformatie.
• Nieuwe bedreigingen zijn in Defender for Endpoint automatisch gedekt. Met Sentinel moet je daar zelf voor zorgen.
• Defender for Endpoint heeft veel belangrijke tools voor onderzoek zoals Live Response.
• Je kan Microsoft Sentinel met allerlei digitale middelen en toepassingen combineren. Ook wanneer deze niet van Microsoft zijn.

Microsoft Sentinel bestellen?

Microsoft Sentinel is een op zichzelf staande SaaS-dienst (Security as a Sevice) die draait op de servers en opslag van Microsoft: Azure. Je activeert de oplossing zelf in de Azure portal onder een van onze abonnementen (EA of CSP). Heb je nog geen Azure? Bekijk dan hoe je Azure via ons afneemt.

Je betaalt wat je gebruikt (pay per use). De kosten zijn dus afhankelijk van hoe vaak je Microsoft Sentinel gebruikt en hoeveel data er bijvoorbeeld via connectoren binnenkomt.

Wil je toch liever eerst met de Defender producten uit de A5 bundel aan de slag? Deze producten vind je in onze webwinkel.