Utilizzare i Workbook per stimare il consumo Azure di Microsoft Sentinel

All’interno della community ho parlato molto del SIEM/SOAR di casa Redmond, vi ho dato evidenza che il costo del servizio è basato sul consumo di una Subscription Azure, ma molte volte durante le implementazioni le organizzazioni mi pongono una domanda, direi molto più che lecita: Ma non vi è un modo per, quantomeno, stimare quanto andrò a pagare nell’arco di un mese ?

La risposta a questa domanda è si è possibile avere una stima dell’utilizzo delle risorse del nostro SIEM ed in questo articolo vi spiegherò come poter sfruttare i Workbook di Sentinel per calcolare il consumo stimato.

Per approfondimento sulle funzionalità e potenzialità di Microsoft Sentinel vi riporto gli articolo della community in cui potete trovare guide sia sull’implementazione del servizio SIEM sia sulle funzionalità che questo strumento vi mette a disposizione:

Prima di iniziare, vorrei però dirvi cosa sono i Workbook di Microsoft Sentinel.

Questa funzionalità permette agli IT Admin, di poter avere a disposizione, in maniera molto “grafica” e semplice i dati che vengono immagazzinati all’interno delle tabelle di Sentinel senza dover “scrivere” KQL (Kusto Query) complesse per estrarre i dati, vi riporto a titolo informativo la pagina ufficiale di Learn nella quale viene descritta questa funzionalità Cartelle di lavoro di Microsoft Sentinel comunemente usate | Microsoft Learn

Svolgimento

Per darvi evidenza di come poter sfruttare i Workbook di Microsoft Sentinel per stimare il consumo utilizzerò un Workspace, che è all’interno di una Subscription di Visual Studio

Figura 1: Workspace di Microsoft Sentinel chiamato “MicrosoftSentinelWorkspaces”

Figura 2: Subscription Microsoft Azure in cui è presente il Workspace per poter utilizzare Microsoft Sentinel

I connettori che ho installato all’interno di Microsoft Sentinel, sono quelli relativi alle login del portale Microsoft 365 da parte degli utenti, questo connettore permette inoltre di collezionare anche i log di Audit e quindi tenere traccia di tutte le attività che sono state svolte dagli utenti all’interno del tenant Microsoft 365, pertanto vi riporto i connettori utilizzati per darvi evidenza di quanto indicato:

  • Entra ID
  • Microsoft 365 (Formerly,Office 365)

Figura 3: Connettori Presenti all’interno di Microsoft Sentinel per collezzionare log di Microsoft 365 e EntraID

Ora dovrete procedere ad installare un ulteriore connettore chiamato “Microsoft Sentinel Cost (EUR)” che vi permetterà di avere poi il template del Workbook da poter utilizzare, ringraziamo l’autore del Workbook Marco Passanisi per il lavoro svolto nella creazione di questo workbook davvero utile.

Figura 4: Installazione connettore “Microsoft Sentinel Cost (EUR)” che ci genererà un template del Workbook da utilizzare

Figura 5: Installazione del Workbook nello stato “In Progress”

Figura 6: Installazione del Workbook avvenuta con successo

Ora che avrete installato in modo corretto il Workbook dal content Hub potrete procedere a salvarlo, per farlo recatevi nella sezione di Microsoft Sentinel che riguarda proprio i Workbook

Figura 7: Salvataggio del template del Workbook appena installato

Ora vi verrà richiesto di selezionare la Location in cui salvare il Workbook, nel mio caso ho selezionare West Europe, in quanto è la location nella quale ho inserito il mio Workspace di Microsoft Sentinel

Figura 8: Selezionare la Location all’interno della quale inserire il vostro Workbook

Figura 9: Salvataggio del Template relativo al Workbook eseguito con Successo

Ora che avrete salvato il Workbook potrete cliccare all’interno di “View Saved Workbook”

Figura 10: Visualizzare il Workbook Salvato

Ora avrete a disposizione il Workbook che vi permette di:

  • Modificare il numero di Seats che avete di E5/A5/F5/G5
  • Il costo della retention (varia in base alla location del workspace)
  • Il prezzo di Ingestion dei log (varia in base alla location del workspace)
  • Modificare il Time Range

Nella parte in basso del Workbooko trovate tutti i relativi connettori che vi forniscono lo spazio occupato dalle differenti tipologie di Log.

Figura 11: Workbook Microsoft Sentinel Cost (EUR)

Conclusioni

Avere quindi uno strumento, che vi permette di stimare i costi del servizio di SIEM/SOAR di casa Redmond in modo semplice e molto intuitivo è qualcosa di straordinario, naturalmente il consumo e il prezzo che andrete ad ottenere è sempre una stima, perché in caso di potenziale attacco il numero di log cresce in modo considerevole, ma avrete comunque a disposizione un costo indicativo.

Io personalmente, utilizzo molto questo strumento in fase di poc verso le organizzazioni, così una volta che il SIEM entrerà in produzione definitiva l’organizzazione ha evidenza di quale importo dovrà sostenere.