Kolme kuolemansyntiä Microsoft Sentinelin käyttöönotossa

Kolme kuolemansyntiä Microsoft Sentinelin käyttöönotossa

Kirjoittelin aiemmin tänä vuonna havaintoja Microsoft Sentinelistä (lue juttu). Palvelu tuli tuotantovalmiiksi suunnilleen kolmisen vuotta sitten, ja on nyt täysin tietoturvaamisen ytimessä pilvi- ja hybridiarkkitehtuureissa. Ilahduttavasti Microsoft Sentinel näkyy jo usein arkkitehtuuri-diagrammeissa ja tuotantoympäristöissä melko usein. Valitettavasti palvelu otetaan toisinaan myös melko hätäisesti käyttöön eikä varsinaista hyötyä ole silloin mahdollista ulosmitata myöhemmin.

Listasimme kolme Microsoft Sentinel-käyttöönoton kuolemansyntiä. On niitä useampiakin, mutta nämä kolme tulevat keskimäärin säännöllisimmin vastaan.

Ensimmäinen synti: Hillotaan kaikki lokit

Microsoftilla on erinomainen kyky rakentaa selkeitä ja helpohkoja hallintaliittymiä palveluihinsa. Microsoft Sentinel ei ole tästä poikkeus – jotta palvelusta on ensinkään hyötyä, tulee konfiguroida data connectorit, joilla lokitietoja noukitaan kyytiin. Tällöin tulee helposti kiusaus ottaa kaikki kaikkialta – ”more is better”, eikö?

Microsoft Sentinel toki toimii hyvin näinkin mutta lokimäärän kasvaessa kohdataan kaksi ongelmaa: mitä tämä kaikki maksaa (= paljon), ja kuka tätä kaikkea valvoo (= ei kukaan).

Kaikki tärkeimmät lokilähteet tulee luonnollisesti konfiguroida heti kättelyssä kyytiin. Tarvitaanko sen sijaan jokaisesta virtuaalipalvelimesta kaikki lokit sellaisenaan? Entä jokaisesta testiympäristöstä aivan kaikki? Vastaus riippuu ympäristötekijöistä ja tarpeesta – mutta lokit tulee ottaa Microsoft Sentinelin piiriin aina, kun se on perusteltua. Muissa tapauksissa kannattaa miettiä muita keinoja.

Toinen synti: Microsoft Sentinel puksuttaa itsekseen päivästä toiseen

Myöhemmin, kun Microsoft Sentinel on konfiguroitu tikkiin, homma on usein sillä selvä. Kuka valvoo hälytyksiä ja incidenttejä? Pitäisikö dataa louhia proaktiivisesti, vai riittääkö, että odotellaan hälytyksiä? Valitettavan usein Microsoft Sentinel pyörii iloisesti itsekseen, ja saattaa toisinaan hälytelläkin jotain. Toivottavasti joku katsoo sitä tietohallinto@yritys.fi -meiliboksia kuitenkin useammin kuin kerran viikossa. Tai sitten rakennetaan hieno integraatio, joka puskee Sentinelin häly-viestejä tikettijärjestelmän pohjattomaan kuiluun.

Microsoft Sentinel vaatii selkeät vastuut, ja palvelun käytölle tulee allokoida aikaa ja energiaa. Viikottain ja kuukausittain tehtävät valvontatoimenpiteet ovat toimivan Microsoft Sentinel-toteutuksen perusedellytykset.

Kolmas synti: Liian kevyt käyttö

Kolmas, ja viimeinen synti on Microsoft Sentinelin liian heppoinen käyttö. Peruskäyttöönotossa data connectorit on jollain tasolla konfiguroitu, ja Sentinel käsittelee dataa – jollain tasolla. Ja siinä se! Eikös se nyt riitä, että palvelu on käytössä – pitikö siitä olla hyötyäkin? Palveluna Sentinel on juuri niin paljon ja niin hyvä, kuin mihin sen jaksaa taivuttaa. Rajansa tietysti kaikella mutta lukuisat Sentinelin kyvykkyydet on hyvä valjastaa peruskonfiguraatioiden jälkeen käyttöön.

Lopuksi

Menestystä Microsoft Sentinel-käyttöönottoihin ja jalkautukseen! Autamme mielellämme sparraamaan, konfiguroimaan ja rakentamaan turvallisia toteutuksia - ota yhteyttä.