Cloud SIEM Azure Sentinel nun Allgemein Verfügbar

SIEM (Security Information and Event Management) Systeme sind in den meisten Unternehmen bereits für Security Zwecke im Einsatz. Eine rein Cloudbasierte Variante hat Microsoft vor ca. 6 Monaten als Public Preview unter den Namen Azure Sentinel vorgestellt. Azure Sentinel hat unzählige Konnektoren und basiert im Backend auf Log Analytics. Seit heute ist Azure Sentinal allgemein verfügbar und Microsoft hat die Preise und die SLA veröffentlicht. Diese Artikel gibt einen Überblick über die enthaltenen Services, welche Preismodelle vorhanden und welche Features kostenfrei verfügbar sind.

Contents

Azure Sentinel logo
Azure Sentinel logo

Allgemein

Azure Sentinel wurde als integrierte Cloud SIEM Lösung von Microsoft entwickelt und im Februar als Preview vorgestellt.

Die Lösung arbeitet über Konnektoren, über die sich vielfältige Systeme anbinden lassen. Von Azure eigenen Services, bis hin zu Cloud Systemen von weiteren Anbietern, bis hin zu On-Prem Systemen sind alle Szenarien denkbar.

Alle enthaltenen Daten werden in einem Azure Log Analytics Workspace gesammelt. Um Azure Sentinel nutzen zu können, muss eine Verbindung mit einem bestehenden oder zuvor neu eingerichteten Log Analytics Workspace eingerichtet werden. Sobald die Verbindung hergestellt wird, konfiguriert Azure Sentinel weitere Funktionen im Workspace.

Azure Sentinel Connectors
Azure Sentinel Connectors

Anschließend lassen sich über die bereits erwähnten Konnektoren verschiedene Services anbinden. Zu Beginn stehen 25 Konnektoren zur Verfügung, darunter für etliche Azure Services und bereits einige für AWS oder Firewall Anbieter wie F5.

Alle Ereignisse werden im darunter liegenden Log Analytics Workspace gesammelt und lassen sich über Azure Sentinel in vielfältiger Weise auswerten oder zum Hunting verwenden. Die empfangenen Ereignisse werden bereits beim Empfang auf Basis von Microsoft AI Technologien ausgewertet und klassifiziert. Dies kann besonders die Erkennung von Bedrohungen deutlich effizienter gestalten.

Bestehende Cloud Systeme lassen sich an Azure Sentinel anbinden oder es kann umgekehrt dafür gesorgt werden, dass die Informationen von Azure Sentinel an das lokale Cloud SIEM weitergeleitet werden.

Die nun angekündigte allgemeine Verfügbarkeit gilt für Azure Sentinel und einiger Services, die rund um Azure Sentinel bereits verfügbar sind. Allerdings fehlen noch einige, weitere Features und Integration in bestehende Services. Daher werden auch in den kommenden Monaten noch viele Funktionen dazu kommen.

Es lohnt sich definitiv schon jetzt mit Azure Sentinel zu beginnen, sich mit den Funktionen vertraut zu machen und Azure Sentinel zumindest für die Azure Umgebung zu aktivieren.

Preise

Für Azure Sentinel als Service selbst, sind zwei Preismodelle verfügbar, Pay-as-you-Go und Capacity Reservations.

Zu den beiden Modellen werden zusätzlich die gespeicherten Daten in Azure Log Analytics Workspace berechnet, wenn diese länger als 90 Tage in Log Analytics vorgehalten werden. Bedeutet bis 90 Tage fallen für die Daten nur die Preise von Azure Sentinel an und keine für Log Analytics.

Pay-as-you-Go

In der Pay-as-you-Go Variante wird der Preis einzig anhand der eingehenden Datenmenge berechnet.

Pro GB werden 2,20€ berechnet.

Die angezeigten Preise sind für West Europa gültig.

Capacity-reservation

In der Capacity-based Variante wird die eingehenden Menge zuvor selbst festgelegt und ihr haltet einen entsprechenden Rabatt auf die vorausgewählte Kapazität. Bei einer vorausgewählten Kapazität von 100GB wird 50% Rabatt im Vergleich zu Pay-as-you-Go eingeräumt. Anschließend steigt der Rabatt auf max. 60% ab 500GB oder mehr eingehender Datenmenge.

Capacity (per day)Price (per day)Discount
100 GB109,63€50%
200 GB 197,34€55%
300 GB285,04€57%
400 GB365,43€58%
500 GB 458,52€60%
More than 500 GB per day 458,52€ + 87,71€ for each 100GB increment after 500GB capacity60%

Zusätzliche Daten, die die vorausgewählte Kapazität überschreiten, werden über das Pay-as-you-Go Modell berechnet.

Abrechnungsmodellwechsel

Ein Wechsel zwischen beiden Modellen ist jederzeit möglich.

Kostenfreie Services

Für folgende eingehende Logs in Azure Sentinel fallen derzeit keine Gebühren an:

  • Azure Activity Logs
  • Office Audit 365 Logs
  • Alerts from Microsoft Threat Protection

Einstieg

Wer nun mit Azure Sentinel starten möchte, sollte sich die sehr empfehlenswerten Artikel von Maarten Goet auf medium ansehen u.a. “Azure Sentinel: design consederation” .

Links

Leave a Reply

Your email address will not be published. Required fields are marked *