En un reciente artículo en el blog de Microsoft se anunció la disponibilidad general de Sentinel, un servicio de seguridad, información y administración de eventos (SIEM) en Azure, proveyendo a los clientes de analíticas de seguridad inteligentes a lo largo de sus empresas. Con la disponibilidad general de Azure Sentinel, Microsoft estaría entrando en el mercado de los SIEM.
En Marzo de este año, se reportaron los primeros anuncios de Azure Sentinel, donde su característica más grande es la Inteligencia Artificial capad de analizar los datos y adaptarse a las nuevas amenazas. Desde entonces más de 12000 clientes se han sumado al programa de preview, Microsoft ha continuado invirtiendo en el servicio durante este tiempo y ahora con el lanzamiento para disponibilidad general va a venir con nuevas características.
Tal como muchos dispositivos SIEM, Azure Sentinel saca grandes volúmenes de datos de los usuarios, aplicaciones, servidores y dispositivos corriendo tanto on prem o en la nube. Microsoft integrado con Sentinel con servicios de Microsoft como Azure Security Center, Azure Active Directory y Microsoft 365. Ahora con la disponibilidad general, Microsoft creó nuevos conectores para los servicios como Cloud App Security e Information Protection junto a una creciente lista de conectores de terceros que incluyen a Cisco, Check Point, Palo Alto Networks y Symantec.
Además de los conectores Microsoft agrego:
- Mas de 100 reglas de alertas incorporadas, y el uso del nuevo asistente de alertas para crear reglas personalizadas.
- Una vista previa a el modelo de machine learning que identifica inicios de sesión sospechosos en los servicios de identidad de Microsoft para descubrir accesos maliciosos.
- Una vista previa a otro de los modelos de machine learning llamado Fusion, que conecta data de múltiples fuentes como inicios de sesión anómalos en Azure AD y actividades sospechosas en Office 365, también puede detectar 35 amenazas que aparecen en diferentes puntos de la cadena.
- Una “interfaz de caza” para usuarios que incluye una creciente colección de queries de caza, queries exploratorios y librerías Python para usar en Jopyter Notebooks.
- Un asistente de reglas que permite a los usuarios decidir que alertas de Microsoft desencadenan la creación de un incidente.
- Una nueva vista previa de gráficos de investigación, que permite a los usuarios visualizar las conexiones entre entidades como usuarios, assetes, aplicaciones o URLs junto a otras actividades relevantes como inicios de sesión, transferencia de datos o uso de aplicaciones para así entender el impacto de un incidente reportado.
- Nuevas acciones y playbooks simplifican el proceso de la automatización de los incidentes y su remediación usando Azure Logic Apps.
El precio inicia en “paga lo que usas” por 2.46 USD por gigabyte de datos analizados por Azure Sentinel, otros detalles sobre precios se encuentran en la página web.
Fuente: Microsoft Releases Azure Sentinel, a Cloud Native SIEM, to General Availability