Differenze tra Azure Security Center e Azure Sentinel

A prima vista, i prodotti per la protezione dell'infrastruttura di Azure sembrano molto simili; esploriamoli insieme nel dettaglio per capirne le differenze

Azure

Azure Security Center vs Azure Sentinel

 

Molti cloud architects e cloud engineers si dichiarano piuttosto confusi nel comprendere la differenza tra Azure Security Center(ASC) e Azure Sentinel.
A prima vista, i prodotti sembrano molto simili: vengono infatti entrambi offerti da Microsoft per proteggere l’infrastruttura di Azure e lavorano fianco a fianco.
Ciò che crea confusione sono i seguenti punti: l’insieme storico delle funzionalità che entrambi offrono, la funzionalità complementare che svolgono e, il più importante, il fatto di condividere un sottoinsieme di funzionalità nel ciclo di vita delle attività di cybersecurity.

 

Azure
End-to-end Cybersecurity cycle

 

L’immagine qui sopra rappresenta una sequenza di alto livello di attività che si svolgono in un tipico Security Operations Center (SOC).
Sia ASC che Sentinel sono fondamentali in alcune di queste attività:
Azure Security Center svolge un ruolo vitale nelle attività di “Collect” e “Detect”.
Azure Sentinel, oltre ai primi due ruoli, svolge anche funzionalità di “Investigate” e “Respond”.

Per capire le differenze, è necessario andare in profondità su entrambi i prodotti.

Azure Security Center è un sistema unificato di gestione della sicurezza dell’infrastruttura che rafforza la posizione di sicurezza dei data center e fornisce una protezione avanzata dalle minacce attraverso i workload ibridi nel cloud, siano essi in Azure o meno, oltre che on-premises.

Azure Security Center affronta le tre sfide sulla sicurezza più urgenti:

Workload in rapida evoluzione: è sia un punto di forza che una sfida per il cloud.
Da un lato, gli utenti finali hanno la possibilità di fare di più. Dall’altro, come assicurarsi che i servizi in continua evoluzione che le persone utilizzano e creano siano conformi agli standard di sicurezza e seguano le migliori pratiche di sicurezza?
Attacchi sempre più sofisticati: ovunque vengano eseguiti i workload, gli attacchi diventano sempre più sofisticati. É fondamentale proteggere i workload pubblici nel cloud, che sono, in effetti, workload rivolti a Internet, il che può rendere l’infrastruttura ancora più vulnerabile se non si eseguono le migliori pratiche di sicurezza.
Capacità di sicurezza scarse: il numero di avvisi di sicurezza e di sistemi di allarme supera di gran lunga il numero di amministratori con il background e l’esperienza necessari per garantire la protezione degli ambienti. Essere sempre aggiornati con gli ultimi attacchi è una sfida costante, che obbliga le aziende a correre continuamente poichè il mondo della sicurezza è un fronte in continua evoluzione.

Per far fronte a queste sfide, Security Center fornisce gli strumenti per:
Rafforzare la posizione di sicurezza: valuta l’ambiente e consente di comprendere lo stato delle risorse e se sono sicure;
Protezione dalle minacce: valuta i workload e genera raccomandazioni sulla prevenzione delle minacce e avvisi di rilevamento;
Sicurezza più rapida: in Security Center, tutto viene eseguito alla velocità del cloud. Poiché è integrato in modo nativo, la distribuzione di Security Center è semplice e offre il provisioning automatico e la protezione con i servizi di Azure.

Microsoft Azure Sentinel è una soluzione scalabile, cloud native e di tipo SIEM (security information event management) e SOAR (security orchestration automated response).
Offre analisi di sicurezza intelligenti e informazioni sulle minacce in tutta l’azienda, fornendo un’unica soluzione per il rilevamento degli avvisi e la visibilità, caccia proattiva e risposta alle minacce.

 

Azure

 

 

Funzionalità principali di Azure Sentinel

 

Raccolta dati su scala cloud su tutti gli utenti, i dispositivi, le applicazioni e l’infrastruttura, sia on-premises che in cloud multipli.

Rileva minacce mai rilevate in precedenza e minimizza i falsi positivi utilizzando l’analisi di Microsoft e l’intelligence sulle minacce.

Indaga sulle minacce con intelligenza artificiale e cerca attività sospette su vasta scala, sfruttando anni di lavoro sulla cybersecurity presso Microsoft.

Risponde rapidamente agli incidenti con l’automazione integrata di attività comuni.

 

Azure Sentinel svolge più ruoli tra cui la ricerca, i playbook automatizzati e le risposte agli incidenti, nonché l’assistenza sulle indagini manuali sugli incidenti.
D’altro canto, Azure Security Center è un’ottima fonte di consigli, avvisi e diagnostica che possono essere utilizzati da Azure Sentinel per fornire analisi e avvisi sempre migliori sugli incidenti. Pertanto, entrambi i prodotti devono essere utilizzati in un SOC ben progettato.
Di seguito è illustrato l’intero processo e, in particolare, dove Azure Sentinel e ASC svolgono il proprio ruolo.

 

Azure

 

Security Center è una delle molte fonti di informazioni sulla protezione dalle minacce da cui Azure Sentinel raccoglie i dati per creare una visuale per l’intera organizzazione.
Microsoft consiglia ai clienti che usano Azure di utilizzare l’Azure Security Center per la protezione dalle minacce di workload come VM, SQL, Archiviazione e IoT.
In pochi clic possono connettere Azure Security Center ad Azure Sentinel. Una volta che i dati del Security Center si trovano in Azure Sentinel, i clienti possono combinarli con altre fonti come firewall, utenti e dispositivi, per la caccia proattiva e la mitigazione delle minacce con query avanzate e la potenza dell’intelligenza artificiale.

 

Azure

 

Per ridurre la confusione e semplificare l’esperienza utente, due delle prime funzionalità simili a SIEM nel Security Center, ovvero il flusso di indagini negli avvisi di sicurezza e gli avvisi personalizzati, verranno rimosse nel prossimo futuro. I singoli avvisi rimarranno nel Security Center e saranno equivalenti sia per gli avvisi di sicurezza sia per gli avvisi personalizzati in Azure Sentinel.
Microsoft continuerà ad investire sia in Azure Security Center che in Azure Sentinel. Azure Security Center continuerà ad essere il sistema unificato di gestione della sicurezza dell’infrastruttura per la gestione della sicurezza cloud e la protezione del workload cloud. Azure Sentinel continuerà a concentrarsi su SIEM.

 

 

Le informazioni presenti in questo post, sono prese dall’articolo: What is the difference between Azure Security Center and Azure Sentinel?.

Contattaci

La tua crescita parte da qui
Per maggiori informazioni

Contattaci

    Iscriviti alla newsletter

      Tematiche d'interesse