Evaluating the use of Microsoft Sentinel as Security Information Event Management (SIEM)

Abstract

Denne masteroppgaven gir en omfattende evaluering av Microsoft Sentinel, spesifikt som en løsning for Security Information and Event Management (SIEM), innenfor rammen av HEMITs nåværende infrastruktur. Studien gransker den eksisterende tilstanden til HEMITs sikkerhetsrammeverk, identifiserer mangler i deres datainnsamling og logghåndteringspraksis, og vurderer gjennomførbarheten av å adoptere Microsoft Sentinel som en potensiell løsning. Evalueringen er basert på Nasjonal sikkerhetsmyndighets rammeverk og anbefalinger for informasjonssikkerhet. Oppgaven avdekker HEMITs samsvar med deteksjonsdelen av NSMs rammeverk, men fremhever områder for forbedring, inkludert behovet for en definert sikkerhetsstrategi og bedre logghåndtering. Forskningen konkluderer med skreddersydde anbefalinger som omfatter policy og strategi, organisatorisk kontroll og tekniske aspekter. Det antyder at adopsjonen av Microsoft Sentinel som et SIEM-verktøy kan forbedre HEMITs sikkerhetsstilling, gi mer effektiv databehandling og sterkere trusseldeteksjonskapasiteter, og dermed skape større tillit hos regionens helseforetak. Anbefalingene foreslått i denne oppgaven samsvarer med anbefalingene fra en ekstern revisjon som foreslo lignende forslag til HEMIT. Dette ble fremhevet av Sikkerhetsansvarlig CISO hos HEMIT under den etterfølgende gjennomgangen av oppgaven. Det er viktig å merke seg at forslagene fra den eksterne revisjonen var konfidensielle og ikke tilgjengelige for forfatteren av denne oppgaven.

This master's thesis provides a comprehensive evaluation of Microsoft Sentinel, specifically as a Security Information and Event Management (SIEM) solution, within the context of HEMIT's current infrastructure. The study scrutinizes the existing state of HEMIT's security framework, identifies shortcomings in their data collection and log management practices, and assesses the feasibility of adopting Microsoft Sentinel as a potential solution. The evaluation is based on the Norwegian National Security Authority (NSM) framework and recommendations for information security. The thesis uncovers HEMIT's compliance with the detection section of NSM's framework but highlights areas for improvement, including the need for a defined security strategy and better log management. The research concludes with tailored recommendations encompassing policy and strategy, organizational control, and technical aspects. It suggests the adoption of Microsoft Sentinel as a SIEM tool could enhance HEMIT's security posture, providing more efficient data management and stronger threat detection capabilities, thereby instilling greater confidence in the regions hospitals. The recommendations proposed in this thesis concur with those of an external audit that proposed similar suggestions for HEMIT as highlighted by the CISO at HEMIT during the post thesis review. It is important to note that the suggestions from the external audit were confidential and not accessible to the author of this thesis.