Spring til hovedindhold

Microsoft

Hvad er Microsoft Sentinel?

Microsoft Sentinel samler logs og opdager angreb på tværs af jeres systemer. Se hvad et cloud-SIEM kan, og hvornår det er relevant for SMV'er.

Kort sagt

Microsoft Sentinel er Microsofts cloud-baserede SIEM-løsning, altså et system der indsamler logs fra jeres servere, cloud-tjenester, firewalls og Microsoft 365 og analyserer dem samlet for at opdage angreb og mistænkelig adfærd.

Hvor et traditionelt SIEM kræver egne servere og store investeringer på forhånd, kører Sentinel i Azure og skalerer med jeres behov. Det er relevant for danske virksomheder, der vil have overblik over sikkerhedshændelser på tværs af systemer, fx som led i NIS2- eller ISO 27001-arbejde. Tidligere var den slags forbeholdt store koncerner med eget sikkerhedscenter.

Tre nøglepointer: Sentinel korrelerer hændelser fra mange kilder, så mønstre bliver synlige, som ingen enkeltlogs afslører; indbygget automatisering kan reagere på kendte angrebsmønstre med det samme; og betalingsmodellen er forbrugsbaseret, så I betaler for den datamængde, I indtager. Som certificeret Microsoft-partner hjælper MI Support IT med at designe, implementere og drive Sentinel, så I får reel overvågning uden at drukne i alarmer.

Tilbage til ordbogen

Hvad er Microsoft Sentinel?

Microsoft Sentinel (tidligere kendt som Azure Sentinel) er Microsofts cloud-native SIEM-løsning. Sentinel indsamler logs og sikkerhedshændelser fra hele jeres IT-miljø: Microsoft 365, Azure, servere, firewalls, VPN og tredjepartssystemer. Derefter analyserer platformen det hele samlet og slår alarm, når mønstre ligner et angreb. Fordi Sentinel kører som en tjeneste i Azure, kan også mindre danske virksomheder få den slags overvågning, der tidligere krævede eget datacenter og et stort sikkerhedsteam. Produktet er dokumenteret på Microsoft Learn.

Hvad er et SIEM-system?

SIEM står for Security Information and Event Management. Grundidéen: Alle jeres systemer producerer logs: hvem loggede ind, hvilken fil blev åbnet, hvilken forbindelse blev oprettet. Hver log er harmløs for sig, men et SIEM samler dem ét sted og korrelerer dem: Et login fra et fremmed land, efterfulgt af en ny mailregel og en stor download, er tilsammen et tydeligt faresignal, som ingen af systemerne ville fange alene. Uden et SIEM opdages den slags typisk først, når skaden er sket. Center for Cybersikkerhed fremhæver netop logning og opdagelse som centrale forsvarslag; se cfcs.dk.

Sentinel vs. traditionelt SIEM

Et traditionelt SIEM installeres på egne servere: I skal selv dimensionere hardware, opgradere software og gætte på fremtidens logmængde, inden I køber. Sentinel vender modellen om. Det er cloud-native, kræver ingen infrastruktur og er i drift på dage frem for måneder. I betaler for den data, I indtager, hverken mere eller mindre, og Microsoft leverer løbende indbyggede regler, trusselsintelligens og AI-baseret analyse. For en SMV betyder det, at adgangsbarrieren er tid og kompetencer, ikke et serverrum.

Hvad koster Microsoft Sentinel?

Sentinel afregnes forbrugsbaseret: Prisen følger mængden af logdata, I sender ind og opbevarer, typisk målt pr. gigabyte pr. dag. Der findes desuden trinvise forpligtelsesniveauer, hvor enhedsprisen falder, jo mere data I binder jer til. Det vigtige for budgettet er derfor ikke listeprisen, men hvilke logkilder I vælger at indtage. En gennemtænkt opsætning sender de sikkerhedsrelevante logs til Sentinel og lader støjende, billige logs blive i almindelig lagring. Det er her, rådgivning gør forskellen mellem et skarpt værktøj og en løbsk regning.

Hvad er et SOC?

Et SOC (Security Operations Center) er teamet, der overvåger alarmerne og reagerer på dem, for SIEM er kun værktøjet. Uden mennesker, der vurderer, prioriterer og handler på Sentinels hændelser, ender selv den bedste opsætning som en alarm, ingen lytter til. Mindre virksomheder løser det typisk ved at lade en partner varetage SOC-rollen. Læs mere om truslerne i vores opslag om cybersikkerhed.

Sådan hjælper MI Support IT

Som certificeret Microsoft-partner designer og implementerer vi Sentinel med de rigtige logkilder, ofte med Microsoft Defender som første datakilde, og hjælper med den løbende overvågning. Læs mere om IT-sikkerhed og Microsoft Azure, eller kontakt os for en vurdering af jeres behov.

Skal vi tage en snak om din virksomhed og jeres behov?

Rigtige mennesker taler til rigtige mennesker. Vi vender tilbage samme dag.