Keskne logide hoidmine on oluline kasvõi sellepärast, et kui suudetigi näiteks ettevõtte infosüsteemi kompromiteerida, siis on säilinud logide järgi võimalik taas-lavastada olukorda, mis tegelikult juhtus ja selle põhjal leida nii ründe põhjus kui teha juhtunust oma järeldused. Kui peale rünnet on logid kadunud, siis pole ka midagi uurida.

Logid on hindamatu allikas, mida uurides saab teada, kust rünne tuli, millist turvanõrkust kasutati ja millist kahju tekitati. Ilma selle teadmiseta võid küll sulgeda selle nii-öelda peaukse, kust arvatavasti sisse murti, aga tegelikult võib olla süsteemis veel nõrku kohti, kust sisse pääseb ja ilma logideta ei pruugi me neist midagi teada saada, enne kui on jälle hilja.

Kasutades võrguseadmeid vaikesätetega, võib näiteks juhtuda, et mõni ruuter või muu oluline seade ei logi midagi või hoiab logisid alles viimase tunni aja kohta. Siis pole päeva lõpus sellest enam mingit abi.

Keskne logihoiu teenus on lahendus, millesse tuleks kindlasti investeerida. Azure Sentinel on selline pilvepõhine logihoiu teenus, kuhu saab suunata nii „maapealsete“ ehk oma kontoris asuvate kui pilvepõhiste teenuste logisid. Selleks ei pea eraldi riistvara ostma ega keerukat projekti käivitama.

Teenusel on palju selliseid omadusi, mis aitavad kokku hoida hulga töötunde ja suuremates ettevõtetes isegi personali. Nimelt kasutab Azure Sentinel masinaõppe lahendusi, mis teevad vajadusel logide põhjal ka automaatselt rünnete tuvastusi.

Veel enne, kui logihoiu lahendust juurutama hakata, tuleb aga ise reaalselt oma logisid kontrollima hakata. Kui keegi neid kunagi ei vaata, siis pole hoiatustel mõtet. Logides võib küll jälgi olla, et ettevõtet rünnatakse, aga kui neid ignoreeritakse, ei aita ka erilahendused.

Samuti peab enne läbi mõtlema, kuidas intsidente käsitleda. Mida teha, kui rünnatakse, kes vastutab ja kes sel puhul midagi ette võtab?

Azure Sentinel teeb hulga käsitööd ise ära ning kui ettevõttes teatakse, mida logid sisaldavad, siis on ka automaatselt leitud ning teavitatud intsidendihoiatused arusaadavamad. Teada saab nii erinevate pilveteenuste ja asukohtade kui kontorisiseste seadmete logide põhjal firmat ähvardavatest ohtudest või rünnetest.

Azure Sentinel teeb logide mõistmise lihtsamaks ka erinevate visualiseeritud vaadetega ning pakub automaatset logide analüüsi. Kui me tahame pilveteenuse võimalused kuidagi enda kasuks tööle panna, siis just see lahendus annabki pilve eelised väga hästi ettevõtte käsutusse.

Azure Sentinel teeb infoturbeosakonna töö palju lihtsamaks ja toob kiiresti investeeringu tagasi. Hallata saab erinevaid süsteeme: Windowsit, Linuxit, suure osa suuremate tootjate võrguseadmeid ja erinevaid pilveteenuseid. Kõik enamlevinud lahendused on toetatavate seas esindatud. Nimekiri on suur ja esinduslik, praeguse seisuga võib kasutada 115 Connector´it.

Vaata nende kohta lähemalt siit.

Osadele Microsofti teenustele on see kasutamiseks tasuta. Arveldamine käib logide mahu põhiselt. Administraatori poolt on see maht hästi seadistatav. Saab täpselt määrata, kust andmeid võetakse, kulude üle on seega kontroll olemas.

Sentinelile pole mõtet saata kõiki logisid, siis läheb teenus kallimaks ja tööjõudu on samuti rohkem vaja, et analüüsida. Kohe esimesel päeval pole põhjust kõige eest maksma hakata, vaid mõistlik on logisid järk-järgult lisada.

Vaikimisi hoitakse Sentinelis logisid 30 päeva. Kui seadusandlus nõuab kauem säilitamist, siis saab lisalahendusega seda aega pikendada.

Lisaks sellele, et Azure Sentineli puhul on tegemist keskse logide hoiuteenusega, pakub see ka SOAR-i ehk lubab vastata erinevatele intsidentidele automaatselt. Kui meil on mõni selline intsident, mille kohta teame, kuidas peab reageerima, siis saame selle Sentinelis ära määrata ja lasta automaatsed tegevused käivitada. Kokkuvõttes loob see meile automaatse esmase kaitse, mis säilitab logisid ja oskab nende põhjal õigel ajal hoiatada.