Hvad er Microsoft Sentinel?
Microsoft Sentinel (tidligere kendt som Azure Sentinel) er Microsofts cloud-native SIEM-løsning. Sentinel indsamler logs og sikkerhedshændelser fra hele jeres IT-miljø: Microsoft 365, Azure, servere, firewalls, VPN og tredjepartssystemer. Derefter analyserer platformen det hele samlet og slår alarm, når mønstre ligner et angreb. Fordi Sentinel kører som en tjeneste i Azure, kan også mindre danske virksomheder få den slags overvågning, der tidligere krævede eget datacenter og et stort sikkerhedsteam. Produktet er dokumenteret på Microsoft Learn.
Hvad er et SIEM-system?
SIEM står for Security Information and Event Management. Grundidéen: Alle jeres systemer producerer logs: hvem loggede ind, hvilken fil blev åbnet, hvilken forbindelse blev oprettet. Hver log er harmløs for sig, men et SIEM samler dem ét sted og korrelerer dem: Et login fra et fremmed land, efterfulgt af en ny mailregel og en stor download, er tilsammen et tydeligt faresignal, som ingen af systemerne ville fange alene. Uden et SIEM opdages den slags typisk først, når skaden er sket. Center for Cybersikkerhed fremhæver netop logning og opdagelse som centrale forsvarslag; se cfcs.dk.
Sentinel vs. traditionelt SIEM
Et traditionelt SIEM installeres på egne servere: I skal selv dimensionere hardware, opgradere software og gætte på fremtidens logmængde, inden I køber. Sentinel vender modellen om. Det er cloud-native, kræver ingen infrastruktur og er i drift på dage frem for måneder. I betaler for den data, I indtager, hverken mere eller mindre, og Microsoft leverer løbende indbyggede regler, trusselsintelligens og AI-baseret analyse. For en SMV betyder det, at adgangsbarrieren er tid og kompetencer, ikke et serverrum.
Hvad koster Microsoft Sentinel?
Sentinel afregnes forbrugsbaseret: Prisen følger mængden af logdata, I sender ind og opbevarer, typisk målt pr. gigabyte pr. dag. Der findes desuden trinvise forpligtelsesniveauer, hvor enhedsprisen falder, jo mere data I binder jer til. Det vigtige for budgettet er derfor ikke listeprisen, men hvilke logkilder I vælger at indtage. En gennemtænkt opsætning sender de sikkerhedsrelevante logs til Sentinel og lader støjende, billige logs blive i almindelig lagring. Det er her, rådgivning gør forskellen mellem et skarpt værktøj og en løbsk regning.
Hvad er et SOC?
Et SOC (Security Operations Center) er teamet, der overvåger alarmerne og reagerer på dem, for SIEM er kun værktøjet. Uden mennesker, der vurderer, prioriterer og handler på Sentinels hændelser, ender selv den bedste opsætning som en alarm, ingen lytter til. Mindre virksomheder løser det typisk ved at lade en partner varetage SOC-rollen. Læs mere om truslerne i vores opslag om cybersikkerhed.
Sådan hjælper MI Support IT
Som certificeret Microsoft-partner designer og implementerer vi Sentinel med de rigtige logkilder, ofte med Microsoft Defender som første datakilde, og hjælper med den løbende overvågning. Læs mere om IT-sikkerhed og Microsoft Azure, eller kontakt os for en vurdering af jeres behov.