À medida que as ciberameaças se tornam mais sofisticadas, as organizações necessitam de soluções de segurança robustas para detetar, responder e prevenir incidentes de forma eficaz.
A visibilidade sobre o que se passa na nossa rede e principalmente, o tráfego que entra e sai da nossa organização sempre foi um tema quente e para o qual, na nossa opinião, a maior parte das empresas não dá o devido valor sendo que esta a nossa primeira linha de defesa.
Com isto, a integração do Microsoft Sentinel com as firewalls da SonicWall vem proporcionar uma visão abrangente e uma maior capacidade de deteção e resposta a ameaças em tempo real. Combinando a capacidade de gestão de eventos e informações de segurança do Microsoft Sentinel com a proteção robusta das firewalls SonicWall, as organizações podem melhorar significativamente sua postura de segurança.
Microsoft Sentinel?
O Sentinel é a solução de gestão de informações e eventos de segurança (SIEM) baseada na nuvem da Microsoft, desenvolvida para simplificar as operações de segurança com análises inteligentes e inteligência artificial.
Na prática recolhe dados de várias fontes, deteta ameaças, investiga incidentes e responde a alertas em ambientes Azure, Onprem ou cloud. Resposta esta que recorre à oferta de uma plataforma unificada de operações de segurança que combina as capacidades de detecção e resposta estendidas (XDR) com o SIEM.
SONICWALL!
Quem trabalha com a KI sabe que a Sonicwall é a nossa referência no que diz respeito a soluções de Firewall. Com uma oferta vasta para proteger empresas de todos os tamanhos, utiliza tecnologias avançadas, como por exemplo, inspeção profunda de pacotes (DPI), prevenção de intrusões (IPS) e sandboxing baseado na nuvem, para detetar e mitigar ataques sofisticados.
Aqui não há dúvidas, em equipa que ganha, não mexemos.
Benefícios da integração:
É a integração destas duas soluções que vai permitir que os administradores de segurança e sistemas detetem atividades suspeitas em tempo real.
Com a análise avançada dos logs e a inteligência de ameaças fornecida pelo Microsoft Sentinel, vamos conseguir identificar e mitigar ameaças mais rapidamente, reduzindo o tempo de resposta e minimizando possíveis danos que um ataque possa infligir.
Além disso, podemos também automatizar a resposta a estes incidentes, o que é crucial para rapidamente atuar sobre possíveis ameaças, mesmo quando não existe a possibilidade de uma intervenção manual e imediata.
Quais as vantagens da Integração
- Perspetiva Global: Proporciona uma visão unificada da infraestrutura, facilitando a gestão de alertas e a identificação de ameaças.
- Deteção em Tempo Real: A ingestão de logs do SonicWall melhora a capacidade de deteção de ameaças e visibilidade do tráfego de rede.
- Visibilidade de Ameaças e “Hunting” Proativo: Microsoft Sentinel oferece insights avançados de segurança e inteligência sobre ameaças, aprimorando a sua capacidade de detetar e resolver potenciais riscos em toda a sua infraestrutura. As capacidades proativas de hunting a ameaças permitem a identificação rápida de incidentes de segurança, possibilitando respostas ágeis e coordenadas. Essa integração garante uma monitorização abrangente e proteção contra ameaças em evolução.
- Automação de Respostas: O uso de capacidades SOAR do Microsoft Sentinel em conjunto com dados em tempo real do SonicWall permite a automação de respostas a incidentes, aumentando a eficiência na gestão de segurança.
Como funciona:
A integração funciona ao permitir que os logs de segurança e eventos das firewalls sejam enviados para o Microsoft Sentinel para uma análise centralizada. Isso é feito através da configuração de conectores de dados que ficam Onprem e que recolhem as informações de eventos de segurança, como tentativas de intrusão, acessos não autorizados e outras atividades suspeitas detectadas pela firewalls da SonicWall.
Uma vez esses dados ingeridos no Microsoft Sentinel, ele utiliza as capacidades de inteligência artificial e machine learning para identificar padrões de ameaças e gerar alertas em tempo real.
Com base nestes alertas podemos criar playbooks automatizados que respondem a estes incidentes de segurança com ações predefinidas, como bloquear endereços IP maliciosos ou isolar dispositivos comprometidos. Isso ajuda a reduzir o tempo de resposta a incidentes e a mitigar riscos de forma mais eficiente.
A integração também facilita a criação de relatórios detalhados e dashboards personalizados, proporcionando uma visão abrangente da postura de segurança da organização e permitindo uma gestão proativa das ameaças cibernéticas.
Desafios e Considerações:
A integração do Microsoft Sentinel com as firewalls da SonicWall apresenta alguns desafios que devem ser considerados. Um dos principais desafios é a complexidade da configuração inicial. Configurar corretamente os conectores de dados e garantir que todos os logs de segurança sejam recolhidos e analisados de forma eficaz pode exigir um conhecimento técnico avançado e algum tempo para afinação. Além disso, serão necessários ajustes contínuos para garantir que novos tipos de ameaças sejam sempre detetados e que as políticas de segurança estejam sempre atualizadas.
Outro desafio importante é a gestão de dados e a escalabilidade. À medida que a quantidade de dados de segurança aumenta, pode ser necessário ajustar a infraestrutura para lidar com o volume crescente de logs e eventos. Isso inclui garantir que o Microsoft Sentinel e as firewalls da SonicWall possam escalar de forma eficiente para continuar a fornecer as análises em tempo real e respostas automatizadas a incidentes sem interrupções. Além disso, é crucial considerar a privacidade e a conformidade com regulamentações de proteção de dados, garantindo que todas as informações sensíveis sejam tratadas de acordo com as leis aplicáveis.
Gestão de alertas e a prioridade de incidentes. Com a integração, o volume de alertas pode aumentar significativamente, o que pode levar a uma sobrecarga de informações para as equipas. É crucial implementar uma estratégia eficaz de gestão de alertas, dando prioridade aos incidentes mais críticos e automatizando respostas sempre que possível.
Passos simplificados para a configuração da solução:
1. Criação de um Workspace no Microsoft Sentinel: Configurar um novo recurso utilizando um template customizado para o Microsoft Sentinel.
2. Instalação da Solução SonicWall para Microsoft Sentinel: Adicionar a solução “SonicWall Network Security” a partir do Content hub do Microsoft Sentinel. Configure o Common Event Format (CEF) através da regra de recolha de dados do conector de dados AMA para definir os tipos de filtro de eventos (recursos Syslog) a recolher. Configurar as regras para as collections.
3. Instalação do Agente OMS ou Log Analytics: Configurar o agente para atuar como um relay Syslog. Deve ser instalado numa máquina na rede local.
4. Configuração do Servidor Syslog na Firewall SonicWall: Ajustar as definições de Syslog na firewall SonicWall para enviar dados no formato ArcSight (CEF) para o agente instalado anteriormente.
5. Configuração de Workbooks no Microsoft Sentinel: Utilizar os workbooks incluídos no conector “SonicWall Network Security” para criar regras analíticas, consultas de hunting e obter insights de segurança.
O que nós dizemos
Integrar o Microsoft Sentinel com as firewalls da SonicWall é uma estratégia poderosa para fortalecer a segurança de uma organização. Esta combinação permite uma defesa proativa contra ameaças, simplificando a resposta a incidentes e garantindo uma postura de segurança mais robusta.
Para a Knowledgeinside não existem duvidas, esta é uma integração a fazer, por todos os pontos que já falamos neste artigo, e que dará uma visibilidade numa camada da infraestrutura muitas vezes ignorada e dada como garantida.