ما تعريف Microsoft Sentinel؟
لنبدأ ببعض التعريفات وإلقاء نظرة على أنظمة إدارة معلومات الأمان والأحداث (SIEM) و Microsoft Sentinel.
ما هي معلومات الأمان وإدارة الأحداث (SIEM)؟
نظام SIEM هو أداة تستخدمها مؤسسة ما بهدف تجميع عمليات الأمان وتحليلها وتنفيذها على أنظمة الكمبيوتر المستخدمة بها. يمكن أن تكون هذه الأنظمة عبارة عن أجهزة أو تطبيقات أو كليهما.
في أبسط أشكاله، يسمح لك نظام SIEM ب:
- جمع السجلات والاستعلام عنها.
- إجراء بعض عمليات اكتشاف الارتباط والخارج عن المألوف.
- إنشاء التنبيهات والأحداث بناءً على نتائجك.
قد يوفر نظام SIEM وظائف مثل:
إدارة السجل: القدرة على تجميع بيانات السجل وتخزينها والاستعلام عنها من الموارد داخل بيئتك.
التنبيه: نظرة استباقية داخل بيانات السجل لحوادث الأمان المحتملة وحالات الخارج عن المألوف.
الرسوم المرئية: الرسوم البيانية ولوحات المعلومات التي توفر نتائج تحليلات مرئية في بيانات السجل لديك.
إدارة الحوادث: القدرة على إنشاء الأحداث المحددة وتحديثها وتعيينها وفحصها.
الاستعلام عن البيانات: لغة استعلام غنية، مشابهة لتلك الخاصة بإدارة السجل، التي يمكنك استخدامها للاستعلام عن بياناتك وفهمها.
ما تعريف Microsoft Sentinel؟
Microsoft Sentinel هو نظام SIEM يعمل على السحابة يستطيع فريق عمليات الأمان استخدامه بهدف:
- الحصول على نتائج تحليلات حول الأمان عبر المؤسسة من خلال جمع البيانات من أي مصدر تقريبًا.
- اكتشاف التهديدات والتحقيق فيها بسرعة باستخدام التعلم الآلي المدمج وMicrosoft threat intelligence.
- أتمتة الاستجابات للمخاطر باستخدام دلائل المبادئ ومن خلال دمج تطبيقات Azure Logic Apps.
على عكس حلول SIEM التقليدية، لا تحتاج إلى تثبيت أي خوادم إما محليا أو في السحابة لتشغيل Microsoft Sentinel. Microsoft Sentinel هو خدمة تنشرها في Azure. يمكنك البدء باستخدام Sentinel خلال بضع دقائق فقط على مدخل Azure.
يتسم Microsoft Sentinel بتكامله الوثيق مع الخدمات السحابية الأخرى. لا يمكنك استيعاب السجلات بسرعة فحسب، ولكن يمكنك أيضًا استخدام الخدمات السحابية الأخرى بشكل أصلي (على سبيل المثال، التخويل والأتمتة).
يساعدك Microsoft Sentinel على تمكين عمليات الأمان الشاملة بما في ذلك التجميع والكشف والتحقيق والاستجابة:
لنلقِ نظرة على المكونات الرئيسية في Microsoft Sentinel.