Centralización de la visualización, las alertas y los informes de amenazas de BIG-IP Advanced WAF con Azure Sentinel
La demanda de aplicações empresariales y de consumo no muestra signos de desaceleración y ha provocado una rápida proliferación de cargas de trabajo en arquitecturas distribuidas y multicloud. Al mismo tiempo, las ciberamenazas se han vuelto cada vez más frecuentes y sofisticadas, lo que deja a los equipos de seguridad con pocas opciones más que invertir fuertemente en las últimas y mejores tecnologías para proteger sus carteras de aplicação y datos. Para muchos, esto lleva a implementar una combinación de soluciones dispares, generalmente de una multitud de proveedores, para lograr una postura de seguridad sólida contra una amplia gama de amenazas. De ello se deduce que cada solución probablemente ofrece capacidades de alerta de eventos únicas y paneles de control que están aislados unos de otros, lo que hace que la tarea de compilar una visión integral de amenazas en todas las soluciones sea tediosa, lleve mucho tiempo y sea altamente ineficaz. Este escenario podría representarse a gran escala en la Figura 1 a continuación.
Dado que los equipos de seguridad de la mayoría de las organizaciones son responsables de proteger arquitecturas complejas que consisten en muchos más dispositivos y entornos de seguridad que los que se muestran en la Figura 1, este modelo operativo claramente no es escalable y podría poner las aplicaciones y los datos en mayor riesgo. Por esta razón, muchos han recurrido a la Gestión de Eventos e Información de Seguridad (SIEM). ofertas para ayudar a agregar, analizar y visualizar datos en múltiples sistemas de seguridad. Como era de esperar, una encuesta SIEM de Cybersecurity Insiders de 2022 descubrió que el 80 % de las organizaciones ya han implementado una solución SIEM o planean hacerlo en un futuro cercano, y los motivos principales son lograr una detección de eventos más rápida y operaciones de seguridad más eficientes. El mismo informe señaló que entre 2021 y 2022 el mercado SIEM siguió el cambio del mercado más amplio hacia ofertas basadas en la nube y SaaS, con menos personas optando por implementar soluciones SIEM basadas en hardware o software en las instalaciones y más migrando a soluciones SaaS basadas en la nube como Azure Sentinel y Sumo Logic. Si los proveedores de seguridad ofrecen integraciones con soluciones SIEM, nuestra arquitectura de ejemplo de la Figura 1 se puede simplificar considerablemente y todos los eventos de amenaza se compilan dentro de una herramienta SIEM centralizada, como se muestra en la Figura 2.
Habiendo observado este aumento en la adopción de SIEM por parte de los clientes en los últimos años, F5 ha hecho de la validación de la integración de SIEM con su conjunto de productos un enfoque clave. Ya sea BIG-IP, NGINX o F5 Distributed Cloud Services, cada solución es compatible con una amplia gama de plataformas SIEM líderes, incluidas Splunk, Exabeam y Microsoft Azure Sentinel.
Centrándonos en este último, BIG-IP Advanced WAF de F5 ha ofrecido una integración con Azure Sentinel desde hace varios años y lo utilizan una cantidad significativa de clientes de Azure. Independientemente de dónde se implementen las instancias de BIG-IP Advanced WAF (en las instalaciones, en una instalación de coubicación, en Azure o cualquier otro entorno de nube), esta integración permite a Sentinel recopilar datos en tiempo real de cada una de ellas y brindar una vista consolidada de amenazas en toda la cartera de aplicação de una organización. Este escenario se refleja a continuación en nuestro tercer y último diagrama.
Actualmente, existen dos métodos para conectar instancias de BIG-IP Advanced WAF con Azure Sentinel; ambos son recomendados y completamente gratuitos. El primero aprovecha F5 Telemetry Streaming que, como sugiere su nombre, es una extensión de BIG-IP que permite transmitir datos a soluciones de análisis de terceros. El único requisito para este enfoque es que cada instancia debe ejecutar el software con la versión v13.1 como mínimo. Alternativamente, si está familiarizado con las técnicas de la industria más estándar que utilizan Syslog o CEF (formato de evento común), ambas también son compatibles.
Si está interesado en obtener más información sobre cómo conectar sus instancias de BIG-IP Advanced WAF con Azure Sentinel, puede encontrar información adicional para cada método de integración en los listados de Azure Marketplace a continuación: