Wdrożenie SIEM i powiązanie zdarzeń z Microsoft Sentinel oraz krawędzią Fortinet

Czym właściwie operuje system klasy SIEM / SOAR?

W wielu firmach dbanie o cyberbezpieczeństwo wciąż sprowadza się wyłącznie do standardowego oprogramowania antywirusowego (np. Windows Defender lub ESET na końcówkach roboczych), cyklicznego wykonywania kopii zapasowych (backupu) i polegania na podstawowych, wbudowanych zaporach sieciowych od dostawców internetu (ISP). W erze w pełni zautomatyzowanych, wieloetapowych ataków hakerskich, szeroko zakrojonego phishingu oraz destrukcyjnego szyfrowania za pomocą oprogramowania Ransomware, jest to zdecydowanie niewystarczające. Zwłaszcza, że dyrektywa NIS2 nakłada rygorystyczne normy zgodności i raportowania dla infrastruktury IT w kluczowych sektorach gospodarki.

Aby skutecznie połączyć ze sobą setki tysięcy pojedynczych zdarzeń (logów), codziennie napływających ze wszystkich stacji roboczych, serwerów i ruterów w firmie, organizacje potrzebują zautomatyzowanego centrum powiadamiania o incydentach. Systemy klasy SIEM (Security Information and Event Management) pełnią rolę takiego centralnego dowództwa. Wyłapują one w czasie rzeczywistym podejrzane anomalie (np. nieudane logowania pracownika działu HR z dwóch różnych krajów w tym samym czasie), a uzbrojone w ramy SOAR (Security Orchestration, Automation, and Response) potrafią zablokować intruza i automatycznie odpowiedzieć na zagrożenie jeszcze we wczesnym etapie ataku.

Microsoft Sentinel: Chmurowy i inteligentny wartownik SOC

W dziedzinie usług zaawansowanego bezpieczeństwa jako flagowy element budowy Security Operations Center (SOC), zespół inżynierów PSLAB zdecydowanie polega na rozwiązaniach chmurowych Microsoft Azure. Naszym "rdzeniem" i platformą wywiadowczą stało się narzędzie Microsoft Sentinel.

Ta wysoce elastyczna platforma klasy SIEM pozwala w oparciu o model chmurowy (pay-as-you-go) zbierać i korelować petabajty danych strumieniowanych w formacie Audit Logs. Oprogramowanie natywnie odbiera i analizuje podejrzane zachowania, posiłkując się sztuczną inteligencją (AI), czerpiąc zdarzenia m.in. bezproblemowo ze środowiska Active Directory, stacji roboczych Windows/Linux czy bezpośrednich komunikatów o zagrożeniach z przełączników sieciowych i infrastruktury chmury Azure klienta.

Potężna krawędź obronna: Fortinet FortiGate (Next-Generation Firewall)

Mimo najwyższej klasy inteligentnego monitoringu nie da się osiągnąć rzetelnego bezpieczeństwa firmowych oddziałów i placówek produkcyjnych bez posiadania fizycznej bariery sprzętowej na brzegu sieci. Wszelkie analizatory incydentów będą użyteczne dopiero, jeżeli na krawędzi naszego Internetu stanie potężny fizyczny "ochroniarz". W PSLAB opieramy wdrożenia warstwy brzegowej (Edge) i zaporowej (Next-Generation Firewall) o rozwiązania światowego lidera bezpieczeństwa korporacyjnego — markę Fortinet.

Aplikując bramy sprzętowe z rodziny FortiGate jako bazowe tarcze (wykorzystujące unikalną, akcelerowaną technologię układów scalonych SPU/ASIC), zapewniamy wielowymiarową ochronę. Taki UTM nie tylko operuje rozbudowanymi listami kontroli dostępu, lecz w pełni autonomicznie uruchamia inspekcję Intrusion Prevention System (IPS). Gwarantuje to prewencyjne blokowanie znanych wzorców zakażeń w locie (m.in na zawartych połączeniach i w szyfrowanych tunelach IPsec VPN), wykonując głębokie inspekcje pakietów SSL i chroniąc organizacje przed włamaniami połączonych z botnetami intruzów, zanim te uderzą w laptopy czy serwery.