Praktisk bruk av Azure Sentinel i et fler-tenant-miljø

Abstract

Denne bacheloroppgaven er skrevet i samarbeid med NTNU og NHN SF. Oppgaven består av kostnadsestimering, teori og veiledning om tjenester i Azure som kan bedre sikkerheten i skytjenesten, samt automatisere ressurskrevende oppgaver.

Oppgaven tar for seg sikkerhet i et fler-tenant-miljø i Azure, med særlig fokus på Azure Sentinel. Med målsetting om å sentralisere sikkerhetsarbeidet blir Lighthouse benyttet på ressursgruppenivå, for å kunne hente inn data fra andre tenants. Med dette som grunnlag, viser vi potensielle oppsett for Playbooks og Logic Apps for å automatisere relevante arbeidsoppgaver. Det blir gjennomgått oppsett av Workbooks knyttet til PIM- og innloggingsdata for å gi innsikt og oversikt av trafikkbildet. Flere av komponentene i oppgaven avhenger av KQL-spørringer for å fungere. Gjennom oppgaven viser vi en mulig tilnærming til fler-tenant-spørringer der vi reflekterer rundt behov og vedlikeholdskrav disse har.

Ettersom det ikke var mulig å benytte PowerShell i Logic Apps, har vi sett på et alternativt oppsett ved bruk av Automation Accounts. Vi har i stor grad unnlatt å bruke funksjonalitet som har vært i preview, med hensyn til GDPR.

This bachelor thesis is written in collaboration with NTNU and NHN SF. The thesis consists of cost estimation, theory and guides in relation to services in Azure that can improve cloud security, as well as automating resource-intensive tasks.

The thesis covers the security aspect of a multi-tenant environment in Azure, using Azure Sentinel. With an overall goal of a centralized workflow, we utilize the capabilities of Lighthouse on a resource group level, in order to retrieve data from other tenants. With this foundation, we view potential uses of Playbooks and Logic Apps to automate relevant tasks. We also take a look at the setup of workbooks using data generated from PIM and sign in activity. Many of the components in this thesis depend on KQL queries in order to function properly. We present a possible approach to setting up and maintaining the necessary queries in a multi-tenant environment.

Lack of implementation for the use of PowerShell in Logic Apps, made us look for an alternative setup using Automation Accounts. We have mostly avoided using functionality in preview, due to concerns regarding GDPR.