Microsoft Sentinel: effectief actie ondernemen tegen bedreigingen
Wil je een compleet beeld van de belangrijkste beveiligingsrisico’s binnen jouw school of stichting? Microsoft Sentinel geeft je één duidelijk overzicht van alle incidenten en risico’s. Zo krijg je meer inzicht in de beveiliging én neem je veel effectiever actie tegen bedreigingen, waar deze zich ook bevinden!
Hoe werkt Microsoft Sentinel?
Er zijn verschillende gegevensbronnen die je moet bewaken binnen je school of stichting. Denk aan:
- besturingssystemen (eindpunten) zoals Windows 10, Windows Server, Linux, MacOS, iOS, Android;
- clouddiensten zoals Exchange Online, SharePoint Online, Dropbox, Salesforce;
- Identity Services zoals Entra ID of Active Directory;
- derde partij clouds (vanuit Microsoft gezien) zoals AWS, Google Cloud, Zscaler;
- hardware logs van Firewalls;
- Azure Infrastructure as a Service.
Microsoft Sentinel is een slimme oplossing die gegevens en beveiligingsincidenten uit allerlei bronnen (ook niet-Microsoft) verzamelt en deze samenbrengt in één centrale applicatie. Denk aan gegevens over gebruikers, toepassingen, servers en apparaten. Zowel on-premises, in elke willekeurige cloud of je eigen datacenter. Ook kun je met de ingebouwde connectors eenvoudig (externe) beveiligingsoplossingen en remote locaties verbinden. Zo verzamel je gegevens uit daadwerkelijk alle bronnen (zelfs open source) en heb je een goed overzicht van alle beveiligingsincidenten.
Sentinel bevat ingebouwde kunstmatige intelligentie (AI) voor het snel analyseren van grote gegevensvolumes en neemt hierin je gehele organisatie infrastructuur mee. Het biedt SIEM (Security Information and Event Management) en SOAR (Security Orchestration, Automation, and Response).
Binnen Microsoft Defender for Cloud zie je aanbevelingen, waarschuwingen en diagnostische gegevens. Deze gegevens worden door Microsoft Sentinel gebruikt om betere analyses en incidentwaarschuwingen te geven, zodat er op een gepaste manier actie ondernomen kan worden.
Als we dat in kaart brengen, ziet dat er als volgt uit:
Automatisch actie ondernemen tegen bedreigingen
Via de automatiseringsregels in Microsoft Sentinel onderneem je automatisch actie op bepaalde beveiligingsincidenten. Dit is noodzakelijk bij incidenten waarbij je snel moet handelen om schade te beperken. Denk maar aan een hack midden in de nacht. Handmatig is dit lastig bijhouden, al helemaal wanneer er veel apparaten en gebruikers zijn.
Met Microsoft Sentinel automatiseer je acties op dit soort incidenten: 'bekende' bedreigingen of eigen situaties. Dat scheelt een hoop werk en zorgt er uiteindelijk voor dat je als school of stichting beter bent beveiligd! Daarbij kun je op basis van gedragspatronen bij gebruikers inschatten of iets daadwerkelijk een bedreiging is of niet.
Microsoft Sentinel versus Microsoft 365 Defender
Gebruiken jullie Microsoft 365 Defender producten uit de A5-bundel? Hiermee kun je ook automatisch actie ondernemen op bedreigingen. Is het dan nodig om Sentinel af te nemen? Microsoft Sentinel behoort niet officieel tot de Defender-familie, maar is wel één van de (intelligente) beveiligingsmogelijkheden van Microsoft welke geheel integreert met de Microsoft Defender-producten. Microsoft Sentinel is bijvoorbeeld een goede aanvulling op Azure Security Center (wanneer je servers in Azure of bijvoorbeeld op Amazon draait). Maar ook zeker op Microsoft Defender 365 (wanneer je de werkplek, apparaten, identiteiten en e-mail wilt beveiligen).
Wil je endpoints (apparaten), services en identiteiten beschermen? Dan zal Defender waarschijnlijk al volstaan. Maar wanneer je derde partij cloudsystemen, firewalllogboeken of andere logsystemen wil opnemen, heb je eigenlijk Microsoft Sentinel nodig. Sterker nog: Sommige Microsoft Sentinel regels vereisen zelfs een Microsoft Defender for Endpoint of A5-licentie.
Nog een aantal kenmerken en verschillen:
- Microsoft Defender for Endpoint beschermt echt het apparaat (de endpoint) en stopt bedreigingen wanneer ze zich voordoen. Microsoft Sentinel doet dit niet. Daar heb je geen up-to-date dreigingsinformatie.
- Nieuwe bedreigingen zijn in Defender for Endpoint automatisch gedekt. Met Sentinel moet je daar zelf voor zorgen.
- Defender for Endpoint heeft veel belangrijke tools voor onderzoek zoals Live Response.
- Je kan Microsoft Sentinel met allerlei digitale middelen en toepassingen combineren. Ook wanneer deze niet van Microsoft zijn.
Microsoft Sentinel bestellen?
Microsoft Sentinel is een op zichzelf staande SaaS-dienst (Security as a Service) die draait op de servers en opslag van Microsoft: Azure. Je activeert de oplossing zelf in de Azure portal onder een van onze abonnementen (EA of CSP). Heb je nog geen Azure? Bekijk dan hoe je Azure via ons afneemt.
Je betaalt wat je gebruikt (pay per use). De kosten zijn dus afhankelijk van hoe vaak je Microsoft Sentinel gebruikt en hoeveel data er bijvoorbeeld via connectoren binnenkomt.
Wil je toch liever eerst met de Defender-producten uit de A5 bundel aan de slag? Deze producten vind je in onze webwinkel.
Alles leren over Microsoft Sentinel?
Je kunt hiervoor een gratis leertraject volgen, zodat je met de juiste kennis met Sentinel aan de slag kunt gaan via verschillende modules. Je kunt ook de quickstart gebruiken om snel met Sentinel aan de slag te gaan of relevante blogs lezen.