2min

Microsoft heeft zijn aanwezigheid op de cybersecurity-markt vergroot met de introductie van Azure Sentinel. Dat is een cloud-gebaseerde dreigingsdetectiedienst voor enterprises, meldt Silicon Angle.

Azure Sentinel is een security information and event management (SIEM)-platform. SIEM-producten laten bedrijven activiteitsdata van diverse systemen centraal analyseren, om te zoeken naar dreigingen. Door de data op deze manier samen te brengen, is het mogelijk om nuttige patronen te vinden. Denk bijvoorbeeld aan wanneer twee aparte systemen op hetzelfde moment verdacht gedrag gaan tonen.

Microsoft positioneert Azure Sentinel als een unified hub voor het tracken van beveiligingsevents in een enterprise. Volgens het bedrijf zelf is het bovendien de eerste cloud-gebaseerde SIEM-dienst die natively draait op een groot cloud infrastructure-as-a-service-platform. Het product kan niet alleen Azure-omgevingen monitoren, maar ook clouds van concurrenten zoals Amazon Web Services (AWS), en de on-premise infrastructuur van een bedrijf.

Azure Sentinel kan data ophalen uit een lange lijst van enterprise beveiligingstools en dit combineren met externe threat intelligence en Office 365 user logs. In de afgelopen maanden heeft Microsoft diverse functies toegevoegd aan zijn productiviteitssuite waarmee bedrijven in de gaten kunnen houden of gevoelige documenten mogelijk misbruikt worden.

Machine learning

Azure Sentinel gebruikt machine learning om beveiligingsdata te verwerken. De algoritmes van het platform filteren onnodige logs er uit, correleren activiteitspatronen in systemen en condenseren abnormale activiteiten die ze tegenkomen in georganiseerde alerts voor administrators.

Daarnaast kan het platform delen van de response-workflow voor dreigingen automatiseren. Azure Sentinel is in staat om taken uit te voeren als het versturen van een e-mail naar administrators als de onderliggende machine learning-modellen een beveiligingsevent detecteren met een hoge prioriteit.

Ook zijn er tools toegevoegd voor het uitvoeren van handmatige dreigingsanalyses. Een incident investigation console laat administrators verdachte activiteitspatronen visualiseren en queries draaien om relevante systeemdata op te halen.