สวัสดีครับทุกท่านสำหรับบทความตอนนี้จะเป็นเรื่องราวของ Service หนึ่งใน Microsoft Azure ที่กำลังเป็นที่สนใจขององค์กรต่างๆ โดยเฉพาะถ้าพูดถึงเรื่องราวของความปลอดภัยบน Cloud (เช่น Microsoft Azure) ก่อนอื่นเลยต้องขอเล่าที่มาที่ไปก่อนครับว่า ในช่วงเวลาหลายปีที่ผ่านมาหลายๆ องค์กรได้มีการติดตั้งและทำการ Deploy Workloads ต่างๆ รวมถึงการ Migrate Workloads ต่างๆ จาก On-Premise ไปทำงานบน Cloud ไม่ว่าจะเป็น Microsoft Azure AWS, GCP, และอื่นๆ เป็นต้น รวมถึงมีการนำเอา SaaS Applications ต่างๆ เช่น Office 365, Microsoft 365, Dynamic CRM, และอื่นๆ เข้ามาใช้งานในองค์กร สิ่งหนึ่งที่หลายองค์กรให้ความสนใจคือเรื่องของ การวางแผนและเตรียมความพร้อมในการจัดการเรื่องของความปลอดภัย (Security) ให้กับ Workloads ต่างๆ ไม่ว่าจะอยู่ในรูปแบบ Cloud Service Models ต่างๆ เช่น IaaS, PaaS, หรือ SaaS ที่ได้มีการใช้งานบน Cloud จากภัยคุกคามต่างๆ ครับ
สำหรับ Microsoft Azure นั้นก็ได้เตรียม Services ต่างๆ ที่จะเข้ามาช่วยองค์กรต่างๆ กับประเด็นดังกล่าวนี้ หลาย Services ครับ เช่น Azure Monitor, Azure Log Analytics, Azure Security Center, Azure Sentinel, และอื่นๆ ทั้งนี้จะใช้ Services ใดบ้างของ Microsoft Azure ที่จะเข้ามาจัดการเรื่องของความปลอดภัยในองค์กร ก็ขึ้นอยู่กับความต้องการของแต่ละองค์กรครับ ซึ่งแน่นอนครับว่า จะต้องมีขั้นตอนต่างๆ ไม่ว่าจะเป็นการสำรวจและประเมิน (Assessment) ระบบไอทีขององค์กรก่อน ว่าประกอบไปด้วยอะไรบ้าง รวมถึงความต้องการ โดยข้อมูลต่างๆ เหล่านี้ ก็จะมาทำการวิเคราะห์ เพื่อดำเนินการในขั้นตอนต่อไปนั้นก็คือ การเตรียมความพร้อม, การออกแบบ, และการติดตั้ง ซึ่งมีความเป็นไปได้ที่จะนำเอา Services ต่างๆ ของ Microsoft Azure มาใช้งานและทำงานร่วมกันเพื่อจัดการในเรื่องของความปลอดภัยให้กับองค์กรนั้นๆ ครับ นอกจากนี้แล้วทาง Microsoft ได้เตรียม Models ต่างๆ ให้กับองค์กรหรือท่านใดที่สนใจเกี่ยวกับเรื่องราวของ Security เพื่อนำไปศึกษาหาข้อมูลเพิ่มเติมและนำเอามาประยุกต์ใช้งานต่อไปครับ ผมขอยกตัวอย่างของ เช่น Defense-In-Depth, Zero-Trust Models เป็นต้นครับ
สำหรับบทความนี้ผมจะพาทุกท่านไปรู้จักกับ Service ที่ชื่อว่า "Azure Sentinel" ครับ โดยทำหน้าเป็น Cloud-Native SIEM (Security Information and Event Management) และ SOAR (Security Orchestration and Automated Response) โซลูชั่นครับ
ซึ่งโดยปรกติแล้ว SIEM โซลูชั่นนั้นจะติดตั้งและทำงานอยู่ใน On-Premise ซึ่งจะประกอบไปด้วย Hardware และ Software ซึ่งจะมี Storage เพื่อรองรับการเก็บ Log Data จาก Sources ต่างๆ เช่น Servers (Physical และ Virtual Machines), Firewall, และอื่นๆ และมี User Interface + Search Engine ในการค้นหา พร้อมกับฟีเจอร์ต่างๆ ซึ่งขึ้นอยู่กับแต่ละยี่ห้อครับ
แต่สำหรับ Azure Sentinel เป็น Service ที่เราสามารถติดตั้งและใช้งานได้เลยครับ ซึ่งต่างจาก SIEM ในรูปแบบเดิม เพราะทำงานอยู่บน Cloud หรือ Microsoft Azure นั่นเองครับ ดังนั้นตัวของ Azure Sentinel จะเข้ามา Integrate การทำงานและการปฎิบัติงานของ SOC (Security Operations Center) ของแต่ละองค์กร ครับ
ซึ่งโดยปรกติการดำเนินการและปฏิบัติการของ SOC นั้นจะประกอบไปด้วยหน้าที่หลักๆ คร่าวๆ ดังนี้:
1. การติดตั้งและดูแลรักษา Security Monitoring และเครื่องมือต่างๆ
2. วิเคราะห์, ตรวจสอบและค้นหาพฤติกรรมหรือการทำงานที่น่าสงสัยเพื่อทำการแจ้งเตือน
และโดยปรกติแล้ว SOC จะมีรูปแแบบการทำงานที่เรียกว่า "3-Tier Model" ดังรูปด้านล่างครับ
ดังน้ัน Azure Sentinel จึงถูกออกแบบมาเพื่อช่วยองค์กรต่างๆ ในการเตรียมความพร้อมเพื่อรับมือกับภัยคุกคามต่างๆ ตลอดจนช่วยให้การทำงานและการปฎิบัติงานของ Security Operations Team มีความยืดหยุ่นและมีประสิทธิภาพมากขึ้นครับ
ความสามารถหลักๆ ของ Azure Sentinel มีดังนี้:
1. Data Collection และ Storages เพื่อใช้ในการเก็บและรวบรวมข้อมูลจาก Sources ต่างๆ เช่น Identity, Devices, Applications, และอื่นๆ เพื่อให้ Azure Sentinel นำเอาข้อมูลที่ได้จาก Sources เหล่านี้มาทำการวิเคราะห์และดำเนินการอื่นๆ ต่อไป โดย Azure Sentinel จะมาพร้อมกับ Connectors เพื่อที่จะเชื่อมต่อกับ Sources ต่างๆ หลากหลายรูปแบบ ดังรูปด้านล่างครับ
2. Threat Detection (ใช้ความสามารถ Analytics และ Threat Intelligence ของ Microsoft)
3. ทำการตรวจสอบ (Investigation) Threats ตลอดจนพฤติกรรมที่น่าสงสัยและมีความเสี่ยง
4. จัดการกับ Incidents ต่างๆ ด้วย Built-In Orchestration และ Automation Tasks
จากสิ่งที่ผมได้อธิบายไว้ข้างต้นบวกกับความสามารถหลักๆ ของ Azure Sentinel ข้างต้น พอสรุปได้ว่า Azure Sentinel (SIEM + SOAR โซลูชั่น) นั้นให้บริการ Intelligent Security Analytics และ Threat Intelligence ให้กับองค์กร และยังมีความสามารถอื่นๆ อีกครับ เช่น Alert Detection, Threat Visibility, Proactive Hunting, และ Threat Response ครับ และยังทำงานร่วมกับ Services อื่นๆ ของ Microsoft Azure เช่น Log Analytics, Log Apps เป็นต้นครับ สิ่งสำคัญสำหรับการนำเอา Azure Sentinel เข้ามาใช้งาน คือ การศึกษาและทำความเข้าใจคอนเซปต่างๆ เช่น SOC, Azure Services ต่างๆ ที่เข้ามาเกี่ยวข้องและอื่นๆ ก่อนที่จะตัดสินใจทำการติดตั้งใช้งานนะครับ เพราะมันมีหลายปัจจัย หลายองค์ประกอบซึ่งจะต้องทำการรวบรวมมาเพื่อทำการวางแผนเพื่อเตรียมความพร้อมก่อนที่จะเริ่มใช้งานครับ
สำหรับรายละเอียดเพิ่มเติมสามารถไปที่ Link นี้ครับ https://azure.microsoft.com/en-in/services/azure-sentinel/
และทั้งหมดนี้คือเรื่องราวเบื้องต้นของ Azure Sentinel ที่ผมนำมาให้ทุกท่านได้ทำความรู้จักครับผม.....
