In dit artikel beschrijven we de stappen die nodig zijn om de Sentinel Add-on in Attic voor Microsoft 365 te initiëren, ofwel on-boarden.
Vereisten vooraf
Wat je hiervoor nodig hebt:
- Een Attic account (registreren via myattic.app)
- Een Attic voor M365 Pro abonnement (= Premium + Sentinel add-on)
- 2 weken gratis trial via atticsecurity.com/socaas
- Global Admin rechten in de tenant waar Sentinel moet worden ingericht
- Een Azure Subscription (heb je die nog niet, kijk dan verderop dit artikel)
On-Boarden in 3 stappen
Je kunt kiezen om de volgende stappen in de mobiele app of via de webbrowser uit te voeren. De Microsoft pagina's zijn niet super gebruiksvriendelijk op mobiel dus de webbrowser is voor deze on-boarding wel aan te raden: https://myattic.app.
Ga in Attic naar solutions en vindt daar de Attic Sentinel Addon met als status in het oranje: Configuration needed. Klik daarop!
Vervolgens staan 3 stappen klaar om de on-boarding uit te voeren.
Stap 1: Kies wel/niet koppelen Azure Audit logs (€)
De eerste stap gaat om het maken van de keuze om een set aan Logs wel of niet te on-boarden. Dit betreft logbronnen die Microsoft niet gratis heeft gemaakt, maar wel relevant zijn. Als je deze optie uit zet, zal Attic dus geen kosten aan de zijde van Microsoft tot gevolg hebben.
Maar als je de betaalde logbronnen AAN zet ontstaan dus weer wel kosten. De hoeveelheid kosten kan per omgeving sterk verschillen. Ter indicatie genereert Zolder (eind 2023) met een kleine 10 medewerkers maandelijks 3,20 euro aan extra kosten voor de betreffende logbronnen. Een extensieve rekenmodule voor Sentinel kosten is hier beschikbaar: https://azure.microsoft.com/en-us/pricing/calculator/?service=azure-sentinel
Dus kies om de betaalde bronnen wel of niet toe te voegen. Uiteraard is de keuze later nog te veranderen.
Stap 2: Opzetten Sentinel-omgeving
In deze fase wordt met behulp van een ARM template de benodigde werkruimte binnen Azure aangemaakt om logs in te gaan verwerken, gekoppeld aan je eigen subscription. En die werkruimte wordt verbonden met de Microsoft Lighthouse van Attic voor de beheersing.
De keuzes bij Microsoft spreken voor zich. Doorloop de wizard enwacht de deployment af. Keer daarna terug naar Attic en ga naar stap 3.
Stap 3: Sentinel installatie
Tot slot wordt de Sentinel instance aangemaakt en de juiste logbronnen gekoppeld. De actuele alarmregels worden aangemaakt om via Attic alarm te slaan.
Het enige dat je hoeft te doen is Attic de nodige autorisaties te geven om Sentinel en diens logbronnen te kunnen inrichten.
Hierna is de on-boarding compleet. Doordat er geen directe feedback uit het proces naar Attic mogelijk is, zal ons backend in interval checken of de implementatie klaar is. Dit kan even duren, in de tussentijd kunt u de onboarding pagina refreshen tot de laatste stap ook als voltooid is gemarkeerd.
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.