Microsoft Azure Sentinel SIEM-platform krijgt gedragsanalyse

Abonneer je gratis op Techzine!

Azure Sentinel van Microsoft is voorzien van nieuwe functionaliteit. Het Security Information and Event Management (SIEM)-product krijgt er extra analytics-opties bij.

De toegevoegde functionaliteit zet nieuwe gedragsanalyses van gebruikers en andere entiteiten in om sneller onbekende bedreigingen te ontdekken. Deze analytics moeten ook een sterker wapen vormen tegen bedreigingen die van binnenuit komen.

De nieuwe feature, op dit moment alleen in een preview beschikbaar, bouwt een compleet gebruikersprofiel van een eindgebruiker of device op. Dit profiel wordt gebruikt om bepaalde afwijkingen te detecteren.

De tool synchroniseert hiervoor data van Azure Active Directory en gebruikt de Active Directory audit logs, signing logs en de activiteits-logs van Azure. Deze gegevens worden gecombineerd met security event information. Een dashboard laat vervolgens zien of de gebruiker of het device een potentieel hoog gevaar op inbreuken vormen.

Overige toepassingen

Securityspecialisten kunnen met de nieuwe functionaliteit ook tekstzoekopdrachten uitvoeren, een entity-profiel openen of op een entity klikken terwijl ze een incident onderzoeken. Het profiel beschikt onder meer over contextuele informatie, een timeline van activiteiten en alerts binnen de meest relevante databronnen.

Het pay-as-you-go gebruik van Microsoft Azure Sentinel kost 2,46 dollar pet GB aan geanalyseerde data. Volgens Microsoft is dit veel goedkoper dan andere SIEM-oplossingen.

Azure Security Center

Naast de verbeteringen in Azure Sentinel, heeft Microsoft ook een nieuwe preview van extra functionaliteit voor Azure Security Center naar buiten gebracht. De functionaliteit ondersteunt onder meer het monitoren van configuraties en kwetsbaarheden voor applicaties die klanten in de public clouds van Google en AWS hosten. Vooral bedrijven die zijn gefuseerd met collega’s die andere public clouds dan Microsoft Azure gebruiken, profiteren van deze tooling.