Globeteam
SIEM og XDR
Integreret sikkerhedsmodel med SIEM og XDR
Protect, Detect og Respond udgør som bekendt tre af de fem faser i NIST’s Cybersecurity Framework. Protect-fasen kan koges ned til Zero Trust-paradigmets mantra om at gøre det svært for uønskede gæster at få adgang til virksomhedens brugere, aktiver og ressourcer. Detect-fasen handler om evnen til at monitorere aktivitet på tværs af infrastrukturen, og Respond-fasen adresserer, hvilke tiltag en virksomhed kan iværksætte for hurtigt at lukke en hændelse ned og begrænse skadevirkningerne.
Med en integreret sikkerhedsmodel implementerer man sikkerhedsværktøjer, der skaber tværgående sammenhæng mellem de tre faser i Cybersecurity Framework, og som bruger indsigten fra én fase til at styrke effekten af de andre. Med den rette teknologi til SIEM og XDR (Security Information and Event Management og Extended Detection and Response) kan man bygge en integreret sikkerhedsmodel, der kontinuerligt forbedrer organisationens evne til at forhindre, overvåge og reagere på trusler og angreb.
Derudover understøtter en integreret sikkerhedsmodel en proaktiv tilgang til håndtering af trusler og hændelser. Gennem SIEM- og XDR-værktøjerne modtager de sikkerhedsansvarlige i en organisation notifikationer, alarmer og forslag til handlinger, der forbedrer sikkerheden. Eksempelvis information om fejlkonfigurationer eller sikkerhedsfunktionalitet, der ikke er slået korrekt til. Sikkerhedsværktøjerne kan også automatisere responsen på sikkerhedshændelser baseret på en AI-model, der bruger prædefinerede events fra Microsofts globale indsamling af data.
Læs her, hvorfor det er vigtigt med en integreret sikkerhedsmodel
Globeteams tilgang til integreret sikkerhed
Globeteam anvender Microsofts suite af SIEM- og XDR-sikkerhedsløsninger til at implementere en integreret sikkerhedsstrategi.
I toppen af den integrerede sikkerhedsmodel folder SIEM-løsningen Microsoft Sentinel sig ud som et paraplyværktøj, der binder de enkelte Microsoft Defender-produkter sammen og leverer et samlet overblik over infrastrukturen. Microsoft Sentinel leverer mere og mere indsigt, efterhånden som der bliver koblet flere overvågnings- og analysekapabiliteter på værktøjet. Microsoft Sentinel integrerer ikke kun til Microsoft-teknologi, men også til infrastrukturkomponenter fra andre leverandører, og man behøver ikke at have implementeret alle Microsoft Defender-produkterne for at bruge Microsoft Sentinel – man kan godt udvide produktporteføljen over tid.
Globeteams speciale er at hjælpe organisationer med at etablere deres integrerede sikkerhedsmodel. Vi sørger for, at de enkelte sikkerhedsprodukter leverer det ønskede indblik i infrastrukturen, så I får et holistisk billede af al aktivitet på tværs af data, systemer, enheder og brugere. En anden vigtig del af vores opgave er at sikre korrekt konfiguration, opdatering og monitorering af Microsofts værktøjer samt sikkerhedsuddannelse af jeres medarbejdere.
SIEM og XDR med Microsoft Sentinel, Microsoft Defender og Microsoft Defender for Cloud
Vi anvender bl.a. følgende produkter og tjenester fra Microsoft til integreret sikkerhed:
- Microsoft Sentinel: En skalerbar og cloud-native SIEM-service. Løsningen indsamler data fra en række kilder og anvender avanceret analyse- og trusselsintelligens til at spore, undersøge og reagere på trusler
- Microsoft Defender for Endpoint: Enterprise XDR-løsning til enhedsbeskyttelse, der tilbyder præventiv beskyttelse, post-breach detection, efterforskning af automatiserede trusler og responsfunktioner
- Microsoft Defender for Office 365: Beskytter mod ondsindede trusler i e-mails, links (URL'er) og samarbejdsværktøjer. Leverer beskyttelse mod phishing, zero-day-malware og andre avancerede trusler
- Microsoft Defender for Identity: Beskytter mod interne trusler ved at identificere usædvanlig og mistænkelig aktivitet i Active Directory
- Microsoft Defender for Cloud Apps: En CASB-løsning (Cloud Access Security Broker), der giver indsigt i cloudforbrug og leverer realtidsdatakontrol samt avanceret trusselsbeskyttelse
- Microsoft Defender for Cloud: XDR-funktionalitet på multicloud- og hybridmiljøer (inklusive virtuelle maskiner, databaser, containers, storage og IoT). Løsningen reducerer risikoen i hele cloudmiljøets livscyklus fra Microsoft Azure til hybridmiljøer og kan inkludere AWS og Google Cloud
Microsoft Sentinel kan både bruges til SIEM og som SOAR-løsning (Security Orchestration, Automation and Response). Den automatiserede respons på sikkerhedshændelser er en kompleks sikkerhedsdisciplin, og derfor vil det som oftest være noget, der indgår i en serviceaftale med en Managed Detection og Response-leverandør. Fordelen ved Microsofts produktsuite er, at man udnytter Microsoft Sentinels indbyggede funktionalitet til at håndtere flere opgaver. Det vil sige, at man ikke skal foretage en merinvestering i SOAR-kapabiliteter, men kan bruge den teknologi, man har i forvejen.
Nyhedsbrev
Få vores nyhedsbrev
Hold dig opdateret på din virksomheds digitale muligheder med cases og faglige artikler