Microsoft Sentinel -käyttöönotto ja hallinnoinnin optimointi : AngeGroup Oy
Parkkonen, Ari-Pekka (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025092525111
https://urn.fi/URN:NBN:fi:amk-2025092525111
Tiivistelmä
Tietoturvahavaintojen keskittäminen ja automaattinen reagointi ovat keskeisiä tehtäviä modernissa tietoturvahallinnassa. Hajallaan oleva lokidata ja puutteellinen näkyvyys kriittisiin toimintoihin voivat aiheuttaa vakavia riskejä kaiken kokoisille organisaatioille. Organisaatioille tärkeää varmistaa, että tapahtumat havaitaan, korreloidaan ja, että niihin reagoidaan yhtenäisesti. ICT-sektorin kehitys ja kehittyvät uhkatrendit suorastaan vaativat organisaatioita ottamaan käyttöön SIEM/SOAR-ratkaisuita havainnointi- ja reagointikyvyn parantamiseksi, johon pilvinatiivin Microsoft Sentinelin SIEM/SOAR-arkkitehtuuri soveltuu mutkattomasti.
Tämän työn tavoitteena oli kuvata, millainen Microsoft Sentinelin käyttöönoton malli ja arkkitehtuuri voisi olla, sekä mitä käytäntöjä tulisi noudattaa, että havainnointikyky saadaan riittävälle tasolle.
Työ käynnistettiin organisaation nykytilan kartoituksella, sidosryhmähaastatteluilla ja työpajoilla. Suunnittelun aikana tehtiin keskeiset arkkitehtuuripäätökset ja sovittiin toteutusvaiheista. Käyttöönoton suunnitelma sisälsi datalähteiden priorisointia, roolipohjaisen käyttöoikeushallinnan, lokien säilytysajat, kustannusten hallinnan, hälytyssäännöstön ja automaation osana ensivastekäytäntöjä.
Tämän työn tavoitteena oli kuvata, millainen Microsoft Sentinelin käyttöönoton malli ja arkkitehtuuri voisi olla, sekä mitä käytäntöjä tulisi noudattaa, että havainnointikyky saadaan riittävälle tasolle.
Työ käynnistettiin organisaation nykytilan kartoituksella, sidosryhmähaastatteluilla ja työpajoilla. Suunnittelun aikana tehtiin keskeiset arkkitehtuuripäätökset ja sovittiin toteutusvaiheista. Käyttöönoton suunnitelma sisälsi datalähteiden priorisointia, roolipohjaisen käyttöoikeushallinnan, lokien säilytysajat, kustannusten hallinnan, hälytyssäännöstön ja automaation osana ensivastekäytäntöjä.