מאמר זה הינו הראשון בסדרת מאמרים של Azure Sentinel להפעלה, הגדרה והקמת שירות SIEM מבוסס Azure Sentinel; כולל אוטומציות, תחקור אירועים ושילוב עם כלים נוספים כגון Azure Lighthou. אז איזה שירות כדאי להקים? שירות MDR, שילוב של XDR? אולי שירות MSSP. SIEM as a Service או SOC מנוהל? ההבדלים בין כל אחד מהמושגים הנ"ל הינם רבים ומהותיים, וכל אחד מייצג שירות ספציפי.
חשוב לדעת שהקמה של שירות ה-Azure Sentinel היא אירוע לכל דבר בארגון (בדומה לכל הקמת שירות SIEM ארגוני), אך בניגוד למערכות SIEM אחרות, הקמת ה-Azure Sentinel מביאה עימה בשורה חדשה בכל התהליך של ניהול SIEM ארגוני; החל מהטכנולוגיה, דרך התהליכים ועד החשוב מכל - האנשים שמתחזקים את הטכנולוגיה עצמה.
אז מהי הבשורה החדשה שמביא איתו Azure Sentinel? שירות זה מחבר את כל הנקודות יחדיו, קרי - הוא עצמו מכיל תשתית ספציפית, אך מחבר טכנולוגיות אחרות כדוגמת: Log Analytics, Azure Notebook, Security Playbook, שפות שונות כמו Python וכן KQL, ולכן אולי חשוב יותר מכל טכנולוגיות ה-AI של Azure. כל זאת לצד התממשקות פשוטה מול טכנולוגיות מבוססות Microsoft וכן טכנולוגיות צד שלישי (EcoSystem) המאפשרות לאמץ את הטכנולוגיה באופן מהיר.
כאשר ניקח את כל הטכנולוגיות הנ"ל ונבחר אותן יחדיו, אנו נקבל תשתית SIEM מתקדמת עם יכולות דיווח מתקדמות, אפשרויות תחקור רבות, מנגנון לזיהוי בעיות אבטחה (הנחשב כמהיר בהשוואה לאחרים), יכולות לחיזוי התקפות מדויקות ויכולות נוספות.
התהום הגדולה
למה תהום? בגלל מספר סיבות, כגון: אילו תרחישים להעלות? האם תהיה אוטומציה? מי מגיב לבעיות אבטחה? האם רמת הידע של כלל האנשים המתפעלים את המערכת היא ברמת אותו ידע? שאלות אלו ונוספות הן ההבדל בין ניהול תשתית SIEM בצורה נכונה, לבין ניהול תשתית SIEM ללא ערך.
ועכשיו, לשאלה הגדולה: האם השירות יהיה פנים ארגוני או שירות חיצוני?
רגע לפני שנריץ ונפעיל את השירות, יש לבצע תכנון מוקדם של ההתקנה וההגדרות. אחרי הכל, מדובר על תשתית SIEM ארגונית, ולכן מכאן זה לוקח אותנו לכמה דגשים שעליהם נחזור בכל הזדמנות. תשתית זו מבוססת על כמה נקודות בסיסיות וקריטיות:
• אנשים – החלק המהותי ביותר בכל הנוגע לביצוע פעולות התחקור והעבודה היומיומית של תשתית SIEM עם אנשים בעלי הבנה מתקדמת ומעמיקה בתחום, החל מהשכבות הנמוכות בארגון ומעלה
• תהליכים – חלק קריטי בשגרה היומיומית. בכל הנוגע למצבי קצה ואירועי אבטחה (למשל, הפעלת אנשים ופעולות), יש להתנהל לפי נהלים מבוססים P1/P2 או לפי סוגי תרחישים
• תיחום – מידע, נתונים, לוגים וסוגי תרחישים חייבים לקבל מסגרת לאחר אפיון, וזאת כדי למנוע מצבים של הצפת מידע, של אתגרים בזיהוי בעיות אמיתיות, של התראה לסוגי תרחישים מסוימים וכו'.
• מודל אבטחה – שייך לעבודה כללית של אבטחת מידע בארגון, על סמך המודל שאיתו מבצעים הגנה בארגון. דוגמאות טובות לכך הן מודל Kill Chain שעליו בונים את שכבות ההגנה או יצירת גרפים לתשתיות ארגוניות, במטרה להגן על הדברים שמוכרים או הדברים שאינם מוכרים.
• טכנולוגיה – לאחר שסיימנו להבין ולתכנן את הארכיטקטורה של תשתית ה-SIEM, אנו צריכים להתחיל בהגדרות של כלל הרכיבים הקיימים בשירות Azure Sentinel.
תשתית Azure Sentinel
מערכת Azure Sentinel הינה מערכת SIEM מבוססת ענן המושתתת בין היתר על מערכות ענן קיימות, וכן על תשתית ענן חדשה. המערכת הינה מערכת SIEM מהדור החדש, המאפשרת לחבר את כלל מערכות האבטחה בארגון, בין אם מדובר על מערכת Microsoft או מערכות אבטחה צד שלישי וכך לקבל תמונה כוללת של מערך האבטחה בארגון. בנוסף לכך, Azure Sentinel מאפשרת לבצע מעקב אחר כל מערכת באופן פרטני במיוחד, לבצע תחקור מעמיק על כל אירוע וכן לבצע מענה אוטומטי לפי workflow ייעודי. מכיוון שמערכת Azure Sentinel מבוססת על רכיבים של Azure כדוגמת Playbook ו-Log Analytics, אנו יכולים לקסטם את המערכת בצורה חכמה יותר ולאפשר אוטומציה מקצה לקצה.
ארכיטקטורה כללית
תשתית Azure Sentinel מבוססת על Azure ומורכבת מהמון רכיבים חדשים, וכן מרכיבים קיימים בשירות Azure.
מכיוון שמדובר על מערכת ענן, אין לנו צורך בהתקנה של Appliance או רכיבי חומרה כלשהם בתשתית המקומית.
רכיב Log Analytics – רכיב מבוסס Azure מוכר וידוע שמאפשר לבצע איסוף לוגים ומידע מתוך שרתים, התקני קצה ואפליקציות, ומאפשר בין היתר את היכולות הבאות:
• איסוף מידע לפי דרישה ומול מגוון סוגי לוגים ומערכות
• גיבוי והגנה על הנתונים והשרתים בארגון
• אוטומציה מול תהליכים בענן או תהליכי On-premises
• מעקב אחר אבטחת מידע בארגון וזיהוי בעיות
• מעקב פרואקטיבי אחר שרתים, אפליקציות ומערכות ארגוניות
• יכולות ניהול חדשות עם פורטל פשוט ביותר
רכיב Collector – רכיב Data Collection שתפקידו לבצע איסוף מידע וכן קבלת לוגים מכלל הרכיבים השונים. מכיוון שישנם לא מעט סוגי לוגים וכן פורמטים שונים, רכיב ה-Data Collector יבצע איסוף מכלל הפורמטים הקיימים כיום - בין אם מדובר בפורמט נפוץ כמו Syslog, ואפילו כאלו שעובדים על גבי Json. איסוף הלוגים נעשה לפי מספר קונקטורים:
• קונקטור למערכות Microsoft שהוא למעשה קונקטור Native ומאפשר שליחת כלל הפעולות והלוגים אל Azure Sentinel
• שליחה ע"י שרת ספציפי, כדוגמת - שרת Syslog אל שירות Sentinel
• שליחת לוגים ופעולות ע"י קונקטור מבוסס Agent שניתן להתקנה על מערכות שונות
רכיב Compression –
דחיסת המידע שעובר על גבי הרשת הינו חשוב ולכן המידע אשר עובר לתשתית Azure Sentinel עובר על גבי קו ייעודי או דרך התקשורת הכללית של הארגון. המידע אשר נשלח הינו מידע אשר עובר דחיסה.
רכיב Parsing -
המידע אשר מגיע לתשתית Azure Sentinel הינו מידע לא מעובד, ולכן תפקידו של הרכיב הינו לנתח, לפרק ולהבין את הלוגים אשר הגיעו למערכת. לכן, רכיב ה-Parsing מבצע ניתוח לכלל הלוגים אשר נשלחים מתוך מערכות אבטחת המידע, מחלק את הלוגים לקטגוריות ומקטלג כאלו אשר הוגדרו כאירוע אבטחה.
תשתית Azure Sentinel מנתחת את הלוג לפי פרמטרים שונים ומכילה Parsers אשר מספקים משמעות לכל לוג שמגיע למערכת, בכדי שאותו לוג יהיה נגיש במערכת בצורה מובנת.
רכיב Correlation – לאחר שכל אותם לוגים הגיעו למערכת ועברו parsing, מגיע רכיב אשר מבצע ניתוח של המידע ותפקידו העיקרי הוא:
• לבצע קורלציה של המידע בין המערכות השונות
• לקטלג את הלוג כמידע רגיל או אירוע אבטחה (חשוב להדגיש כי התנאי שאירוע יוגדר כאירוע אבטחה תלוי לפי תנאים וחוקים מוגדרים מראש)
רכיב Analytics –
רכיב המבוסס על מידע אשר נאסף במערכת ונועד להפעלת תנאים על אירוע אבטחה. מכיוון שאותם לוגים כבר הגיעו אל המערכת לאחר שהם עברו פרסינג וקיבלו קטגוריה מסוימת, כעת אנו נדרשים להגדיר את התנאי אשר חל אותו מידע. ברכיב זה מתאפשרת גם אוטומציה של המידע לפי workflow אשר מוגדר מראש.
מכיוון שישנם תרחישים שונים, ניתן להגדיר קבוצה של חוקים המגדירים ל-Correlation Unit כיצד להתייחס למידע והלוגים השונים.
רכיב Fusion –
תשתית Azure Sentinel כוללת יכולות למידה המבוססות על תשתית Machine Learning של Azure, ולכן מטרת רכיב fusion היא לאפשר לנו להשתמש בכל סוגי המידע (לא במידע עצמו אלא רק בסוגי המידע) אשר קיימים בענן וע"י כך לקבל "פדרציה" שלהן.
המידע אשר מתקבל בשירות Azure מבוסס על סנסורים וסיגנלים ולכן, אירוע שהיה בארגון בקצה השני של העולם רלוונטי לארגון אחר שמקבל מידע.
רכיב Playbook -
רכיב security playbook המבוסס בין היתר על רכיב Logic Apps שמאפשר לבצע אוטומציה ותגובה לתהליכים באופן אוטומטי (או ידני) ומוגדר מראש.
בתרחישים בהם ישנו אירוע, ניתן להגיב על אותו אירוע באמצעות security playbook לפי מאפיינים שונים. לדוגמא, במידה וישנו טריגר לאירוע נוכל לפתוח קריאה באופן אוטומטי במערכת טיקטים. במקביל, המערכת תשלח התראה למייל או למכשיר הנייד. לאחר מכן יתבצע מענה אוטומטי של השהיית הגישה למערכת על גבי אותה מערכת זהויות.
רכיב Azure Notebook –
תשתית Azure Notebook היא תשתית אשר מבוססת על קוד פתוח ומאפשרת לבצע פיתוחים ולהריץ קוד של שפות שונות על גבי Jupyter (בעבר IPython) באמצעות דפדפן וללא צורך בהתקנות מוקדמות. תשתית זו מאפשרת עבודה עם סוגי טקסט, כתיבת קוד, נתונים ומידע, אפשרויות גרפיות והכל מתוך מקום אחד באמצעות דפדפן.
כיום, Azure Notebook הוא כלי נפוץ במימושים של למידת מכונה, סטטיסטיקות, חיזוי נתונים, עבודה של אנשי דאטה, הנגשת או הדמיית מידע ויכולות נוספות.
מאת: אלי שלמה, מומחה למערכות מיקרוסופט וענן
רוצים להתעדכן בתכנים נוספים הקשורים לארכיטקטורת ענן? הצטרפו לפורום המקצועי של IsraelClouds בתחום > להרשמה
מאמר זה הינו הראשון בסדרת מאמרים של Azure Sentinel להפעלה, הגדרה והקמת שירות SIEM מבוסס Azure Sentinel; כולל אוטומציות, תחקור אירועים ושילוב עם כלים נוספים כגון Azure Lighthou. אז איזה שירות כדאי להקים? שירות MDR, שילוב של XDR? אולי שירות MSSP. SIEM as a Service או SOC מנוהל? ההבדלים בין כל אחד מהמושגים הנ"ל הינם רבים ומהותיים, וכל אחד מייצג שירות ספציפי.
חשוב לדעת שהקמה של שירות ה-Azure Sentinel היא אירוע לכל דבר בארגון (בדומה לכל הקמת שירות SIEM ארגוני), אך בניגוד למערכות SIEM אחרות, הקמת ה-Azure Sentinel מביאה עימה בשורה חדשה בכל התהליך של ניהול SIEM ארגוני; החל מהטכנולוגיה, דרך התהליכים ועד החשוב מכל - האנשים שמתחזקים את הטכנולוגיה עצמה.
אז מהי הבשורה החדשה שמביא איתו Azure Sentinel? שירות זה מחבר את כל הנקודות יחדיו, קרי - הוא עצמו מכיל תשתית ספציפית, אך מחבר טכנולוגיות אחרות כדוגמת: Log Analytics, Azure Notebook, Security Playbook, שפות שונות כמו Python וכן KQL, ולכן אולי חשוב יותר מכל טכנולוגיות ה-AI של Azure. כל זאת לצד התממשקות פשוטה מול טכנולוגיות מבוססות Microsoft וכן טכנולוגיות צד שלישי (EcoSystem) המאפשרות לאמץ את הטכנולוגיה באופן מהיר.
כאשר ניקח את כל הטכנולוגיות הנ"ל ונבחר אותן יחדיו, אנו נקבל תשתית SIEM מתקדמת עם יכולות דיווח מתקדמות, אפשרויות תחקור רבות, מנגנון לזיהוי בעיות אבטחה (הנחשב כמהיר בהשוואה לאחרים), יכולות לחיזוי התקפות מדויקות ויכולות נוספות.
התהום הגדולה
למה תהום? בגלל מספר סיבות, כגון: אילו תרחישים להעלות? האם תהיה אוטומציה? מי מגיב לבעיות אבטחה? האם רמת הידע של כלל האנשים המתפעלים את המערכת היא ברמת אותו ידע? שאלות אלו ונוספות הן ההבדל בין ניהול תשתית SIEM בצורה נכונה, לבין ניהול תשתית SIEM ללא ערך.
ועכשיו, לשאלה הגדולה: האם השירות יהיה פנים ארגוני או שירות חיצוני?
רגע לפני שנריץ ונפעיל את השירות, יש לבצע תכנון מוקדם של ההתקנה וההגדרות. אחרי הכל, מדובר על תשתית SIEM ארגונית, ולכן מכאן זה לוקח אותנו לכמה דגשים שעליהם נחזור בכל הזדמנות. תשתית זו מבוססת על כמה נקודות בסיסיות וקריטיות:
• אנשים – החלק המהותי ביותר בכל הנוגע לביצוע פעולות התחקור והעבודה היומיומית של תשתית SIEM עם אנשים בעלי הבנה מתקדמת ומעמיקה בתחום, החל מהשכבות הנמוכות בארגון ומעלה
• תהליכים – חלק קריטי בשגרה היומיומית. בכל הנוגע למצבי קצה ואירועי אבטחה (למשל, הפעלת אנשים ופעולות), יש להתנהל לפי נהלים מבוססים P1/P2 או לפי סוגי תרחישים
• תיחום – מידע, נתונים, לוגים וסוגי תרחישים חייבים לקבל מסגרת לאחר אפיון, וזאת כדי למנוע מצבים של הצפת מידע, של אתגרים בזיהוי בעיות אמיתיות, של התראה לסוגי תרחישים מסוימים וכו'.
• מודל אבטחה – שייך לעבודה כללית של אבטחת מידע בארגון, על סמך המודל שאיתו מבצעים הגנה בארגון. דוגמאות טובות לכך הן מודל Kill Chain שעליו בונים את שכבות ההגנה או יצירת גרפים לתשתיות ארגוניות, במטרה להגן על הדברים שמוכרים או הדברים שאינם מוכרים.
• טכנולוגיה – לאחר שסיימנו להבין ולתכנן את הארכיטקטורה של תשתית ה-SIEM, אנו צריכים להתחיל בהגדרות של כלל הרכיבים הקיימים בשירות Azure Sentinel.
תשתית Azure Sentinel
מערכת Azure Sentinel הינה מערכת SIEM מבוססת ענן המושתתת בין היתר על מערכות ענן קיימות, וכן על תשתית ענן חדשה. המערכת הינה מערכת SIEM מהדור החדש, המאפשרת לחבר את כלל מערכות האבטחה בארגון, בין אם מדובר על מערכת Microsoft או מערכות אבטחה צד שלישי וכך לקבל תמונה כוללת של מערך האבטחה בארגון. בנוסף לכך, Azure Sentinel מאפשרת לבצע מעקב אחר כל מערכת באופן פרטני במיוחד, לבצע תחקור מעמיק על כל אירוע וכן לבצע מענה אוטומטי לפי workflow ייעודי. מכיוון שמערכת Azure Sentinel מבוססת על רכיבים של Azure כדוגמת Playbook ו-Log Analytics, אנו יכולים לקסטם את המערכת בצורה חכמה יותר ולאפשר אוטומציה מקצה לקצה.
ארכיטקטורה כללית
תשתית Azure Sentinel מבוססת על Azure ומורכבת מהמון רכיבים חדשים, וכן מרכיבים קיימים בשירות Azure.
מכיוון שמדובר על מערכת ענן, אין לנו צורך בהתקנה של Appliance או רכיבי חומרה כלשהם בתשתית המקומית.
רכיב Log Analytics – רכיב מבוסס Azure מוכר וידוע שמאפשר לבצע איסוף לוגים ומידע מתוך שרתים, התקני קצה ואפליקציות, ומאפשר בין היתר את היכולות הבאות:
• איסוף מידע לפי דרישה ומול מגוון סוגי לוגים ומערכות
• גיבוי והגנה על הנתונים והשרתים בארגון
• אוטומציה מול תהליכים בענן או תהליכי On-premises
• מעקב אחר אבטחת מידע בארגון וזיהוי בעיות
• מעקב פרואקטיבי אחר שרתים, אפליקציות ומערכות ארגוניות
• יכולות ניהול חדשות עם פורטל פשוט ביותר
רכיב Collector – רכיב Data Collection שתפקידו לבצע איסוף מידע וכן קבלת לוגים מכלל הרכיבים השונים. מכיוון שישנם לא מעט סוגי לוגים וכן פורמטים שונים, רכיב ה-Data Collector יבצע איסוף מכלל הפורמטים הקיימים כיום - בין אם מדובר בפורמט נפוץ כמו Syslog, ואפילו כאלו שעובדים על גבי Json. איסוף הלוגים נעשה לפי מספר קונקטורים:
• קונקטור למערכות Microsoft שהוא למעשה קונקטור Native ומאפשר שליחת כלל הפעולות והלוגים אל Azure Sentinel
• שליחה ע"י שרת ספציפי, כדוגמת - שרת Syslog אל שירות Sentinel
• שליחת לוגים ופעולות ע"י קונקטור מבוסס Agent שניתן להתקנה על מערכות שונות
רכיב Compression –
דחיסת המידע שעובר על גבי הרשת הינו חשוב ולכן המידע אשר עובר לתשתית Azure Sentinel עובר על גבי קו ייעודי או דרך התקשורת הכללית של הארגון. המידע אשר נשלח הינו מידע אשר עובר דחיסה.
רכיב Parsing -
המידע אשר מגיע לתשתית Azure Sentinel הינו מידע לא מעובד, ולכן תפקידו של הרכיב הינו לנתח, לפרק ולהבין את הלוגים אשר הגיעו למערכת. לכן, רכיב ה-Parsing מבצע ניתוח לכלל הלוגים אשר נשלחים מתוך מערכות אבטחת המידע, מחלק את הלוגים לקטגוריות ומקטלג כאלו אשר הוגדרו כאירוע אבטחה.
תשתית Azure Sentinel מנתחת את הלוג לפי פרמטרים שונים ומכילה Parsers אשר מספקים משמעות לכל לוג שמגיע למערכת, בכדי שאותו לוג יהיה נגיש במערכת בצורה מובנת.
רכיב Correlation – לאחר שכל אותם לוגים הגיעו למערכת ועברו parsing, מגיע רכיב אשר מבצע ניתוח של המידע ותפקידו העיקרי הוא:
• לבצע קורלציה של המידע בין המערכות השונות
• לקטלג את הלוג כמידע רגיל או אירוע אבטחה (חשוב להדגיש כי התנאי שאירוע יוגדר כאירוע אבטחה תלוי לפי תנאים וחוקים מוגדרים מראש)
רכיב Analytics –
רכיב המבוסס על מידע אשר נאסף במערכת ונועד להפעלת תנאים על אירוע אבטחה. מכיוון שאותם לוגים כבר הגיעו אל המערכת לאחר שהם עברו פרסינג וקיבלו קטגוריה מסוימת, כעת אנו נדרשים להגדיר את התנאי אשר חל אותו מידע. ברכיב זה מתאפשרת גם אוטומציה של המידע לפי workflow אשר מוגדר מראש.
מכיוון שישנם תרחישים שונים, ניתן להגדיר קבוצה של חוקים המגדירים ל-Correlation Unit כיצד להתייחס למידע והלוגים השונים.
רכיב Fusion –
תשתית Azure Sentinel כוללת יכולות למידה המבוססות על תשתית Machine Learning של Azure, ולכן מטרת רכיב fusion היא לאפשר לנו להשתמש בכל סוגי המידע (לא במידע עצמו אלא רק בסוגי המידע) אשר קיימים בענן וע"י כך לקבל "פדרציה" שלהן.
המידע אשר מתקבל בשירות Azure מבוסס על סנסורים וסיגנלים ולכן, אירוע שהיה בארגון בקצה השני של העולם רלוונטי לארגון אחר שמקבל מידע.
רכיב Playbook -
רכיב security playbook המבוסס בין היתר על רכיב Logic Apps שמאפשר לבצע אוטומציה ותגובה לתהליכים באופן אוטומטי (או ידני) ומוגדר מראש.
בתרחישים בהם ישנו אירוע, ניתן להגיב על אותו אירוע באמצעות security playbook לפי מאפיינים שונים. לדוגמא, במידה וישנו טריגר לאירוע נוכל לפתוח קריאה באופן אוטומטי במערכת טיקטים. במקביל, המערכת תשלח התראה למייל או למכשיר הנייד. לאחר מכן יתבצע מענה אוטומטי של השהיית הגישה למערכת על גבי אותה מערכת זהויות.
רכיב Azure Notebook –
תשתית Azure Notebook היא תשתית אשר מבוססת על קוד פתוח ומאפשרת לבצע פיתוחים ולהריץ קוד של שפות שונות על גבי Jupyter (בעבר IPython) באמצעות דפדפן וללא צורך בהתקנות מוקדמות. תשתית זו מאפשרת עבודה עם סוגי טקסט, כתיבת קוד, נתונים ומידע, אפשרויות גרפיות והכל מתוך מקום אחד באמצעות דפדפן.
כיום, Azure Notebook הוא כלי נפוץ במימושים של למידת מכונה, סטטיסטיקות, חיזוי נתונים, עבודה של אנשי דאטה, הנגשת או הדמיית מידע ויכולות נוספות.
מאת: אלי שלמה, מומחה למערכות מיקרוסופט וענן
רוצים להתעדכן בתכנים נוספים הקשורים לארכיטקטורת ענן? הצטרפו לפורום המקצועי של IsraelClouds בתחום > להרשמה
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר
