Požadavky na odolnost IT infrastruktury neustále rostou a s nimi i tlak na to, aby firmy dokázaly včas odhalit anomálie, vyšetřit incidenty a doložit, co přesně se stalo. A právě tady přicházejí ke slovu logy. Nenápadné, ale nepostradatelné záznamy o všem, co se v systému odehrává. Jenže čím víc systémů, tím víc logů – a tím vyšší náklady i komplexita. Jedním z elegantních a nízkonákladových řešení je propojení nástrojů Logmanager a Microsoft Sentinel, které dokáže snížit náklady na komplexní SIEM řešení až o 75 %.
Logmanager je český nástroj pro správu a uchovávání logů s funkcemi SIEM. Klíčové funkce řešení zahrnují sběr, uchovávání, správu či vyhodnocování logů z různých typů zdrojů a plnění legislativních požadavků. Přestože plní některé funkce SIEM, nejedná se o robustní SIEM řešení. Řešením pro pokrytí monitoringu a analýzy bezpečnostních událostí může být integrace s plnohodnotným SIEM.
Microsoft Sentinel představuje robustní SIEM (SOAR) řešení s nativní podporou Microsoft Azure, AI, strojového učení pro pokročilou analýzu a korelací událostí v reálném čase. Prostřednictvím připravených konektorů umožňuje připojení široké škály technologií mimo cloud a nabízí playbooky pro automatizované reakce v různých oblastech.
Reálný příklad: úspora 75 % nákladů na SIEM řešení
Díky integraci obou nástrojů se objem přenášených dat do Microsoft Sentinel sníží až o 90 %, což výrazně snižuje náklady na přenos. Po započtení všech výdajů na nástroje a jejich integraci může firma se 400 uživateli, kombinující on-premise i cloudové zdroje a uchovávající logy po dobu 18 měsíců, dosáhnout úspory až 75 %.
Zákazník přitom nepřichází o žádnou funkcionalitu – jen místo robustního a drahého řešení dostává efektivní, škálovatelnou a snadno spravovatelnou architekturu.
Jak integrace funguje
Integrace nástroje Logmanager s Microsoft Sentinel představuje komplexní řešení, které umožňuje efektivně spravovat a bezpečně ukládat data. Proces integrace začíná nasazením AMA agenta (Azure Monitoring Agent), což obnáší instalaci malého virtuálního stroje, na kterém agent běží. Tento stroj je zodpovědný za bezpečný a kontinuální sběr dat, díky čemuž lze logy z on-premise prostředí bez problémů propojit s cloudovou službou Microsoft Sentinel.
Po úspěšném nasazení agenta následuje konfigurace datových zdrojů. V této fázi se definuje, která data budou odesílána do Microsoft Sentinel, přičemž je kladen důraz na nastavení pravidel, která pomáhají eliminovat nežádoucí či duplicitní záznamy. Takový přístup nejenže zvyšuje efektivitu celého procesu, ale také optimalizuje náklady spojené s jejich zpracováním a ukládáním.
Aby systém fungoval plynule, je nutné správně nastavit výkon virtuálního stroje – zejména RAM a CPU. Nedostatečná kapacita by mohla zpomalit nebo přerušit sběr dat. Výkonové parametry je proto třeba dimenzovat podle objemu logů a šířky infrastruktury.
Citlivá data zůstávají ve firmě
Jedním z hlavních přínosů integrace obou nástrojů je kromě ceny i možnost uchovávat citlivá data v lokálním prostředí, protože Logmanager funguje jako bezpečný zdroj informací, aniž by bylo nutné přenášet veškeré údaje do cloudu. Tento přístup snižuje riziko nežádoucího úniku dat a zároveň umožňuje organizacím lépe kontrolovat své interní informační toky.
Úsporu lze orientačně spočítat ve veřejné Azure kalkulačce nákladů
Služba Microsoft Sentinel je dostupná v rámci Azure tenantu a její aktivace („workspace“) je bez poplatku. Sentinel je postaven nad Azure Monitor Log Analytics, a proto je dostupný pro každého zákazníka s Azure předplatným. Náklady zde vznikají dvojím způsobem:
Prvním je příjem dat (Data Ingestion). Účtuje se nejčastěji podle modelu Pay-as-you-go, a to za každý gigabajt (GB) dat, který je přijat a uložen v Azure Monitor Log Analytics. Microsoft také účtuje uchovávání dat (Data Retention). Microsoft nabízí prvních 90 dní retence zdarma pro analytické logy. Pokud potřebujete uchovávat logy delší dobu (např. 18 měsíců), platíte za každý další den a každý uložený GB.
Pro orientační odhad nákladů je možné použít Azure Pricing Calculator. Tento nástroj vám umožní zadat objem dat, který plánujete „investovat“ a uchovávat, a získat přibližný odhad měsíčních nákladů na Microsoft Sentinel a související služby. Microsoft nabízí určité množství dat zdarma jako součást „Sentinel M365 Offer“. Podmínky tohoto benefitu se mohou měnit v závislosti na konkrétních licenčních modelech, dohodách a regionálních nabídkách.
Varování na blížící se vyčerpání limitu umožňuje efektivní hlídání nákladů
Microsoft Sentinel nabízí nástroje, které umožňují nastavit varování při dosažení předem definovaných limitů zpracovávaných dat. Tato funkcionalita pomáhá aktivně spravovat náklady a předcházet nečekanému přetížení rozpočtu.
Tím, že integrace Logmanageru s Microsoft Sentinel využívá agentově řízený přenos dat a pokročilé nástroje pro monitorování a správu nákladů, mohou organizace získat flexibilní a škálovatelné řešení pro správu logů. Toto řešení je obzvláště výhodné ve velkém měřítku, kdy efektivní filtrování a monitorování dat může výrazně snížit celkové provozní náklady.
Když efektivita, bezpečnost a flexibilita táhnou za jeden provaz
Integrace Logmanageru s nástrojem Microsoft Sentinel přináší firmám řešení, které spojuje to nejlepší z obou světů: nákladovou efektivitu, výkon moderních cloudových nástrojů a zároveň možnost uchovávat logy v on-premise prostředí. Díky tomu získávají nejen výkonné analytické a detekční funkce, ale i plnou kontrolu nad tím, jaká data kam proudí a kolik za jejich zpracování zaplatí. Jedním z praktických benefitů je také možnost sledovat objem dat, nastavovat limity a vyhodnocovat dopad v reálném čase, což výrazně usnadňuje rozpočtování i dodržování interních pravidel bezpečnosti.
Zaujalo vás popsané řešení? Chcete se dozvědět víc, získat detailní návrh pro vaši infrastrukturu nebo máte zájem o službu typu SOC šitou na míru? Jsme tu pro vás.
Michal Trtil
Head of Security and Network Operations Center ve společnosti ANECT
Michal.Trtil@anect.com
ČLÁNKY DO MAILU