Co je Microsoft Sentinel?

Microsoft Sentinel je škálovatelné řešení nativní pro cloud, které poskytuje:

  • Řešení SIEM (Security Information and Event Management)
  • Orchestrace, automatizace a reakce zabezpečení (SOAR)

Microsoft Sentinel poskytuje inteligentní analýzy zabezpečení a analýzu hrozeb v rámci celého podniku. Se službou Microsoft Sentinel získáte jedno řešení pro detekci útoků, viditelnost hrozeb, proaktivní proaktivní vyhledávání a reakci na hrozby.

Microsoft Sentinel je pohledem z ptačí perspektivy v celém podniku, který zpřehlední stres stále důmyslnějších útoků, rostoucích objemů výstrah a dlouhých časových rámců řešení.

Poznámka

Microsoft Sentinel dědí postupy kontroly proti neoprávněné manipulaci a neměnnosti služby Azure Monitor. I když je Azure Monitor datová platforma určená jen pro připojení, obsahuje ustanovení pro odstranění dat pro účely dodržování předpisů.

  • Shromažďujte data v cloudovém měřítku napříč všemi uživateli, zařízeními, aplikacemi a infrastrukturou, a to jak místně, tak v několika cloudech.

  • Detekujte dříve nezjištěné hrozby a minimalizujte falešně pozitivní výsledky pomocí analýz Microsoftu a bezkonkurenční analýzy hrozeb.

  • Zkoumání hrozeb pomocí umělé inteligence a vyhledávání podezřelých aktivit ve velkém měřítku, využití mnohaleté práce Microsoftu v oblasti kybernetického zabezpečení.

  • Rychlá reakce na incidenty pomocí integrované orchestrace a automatizace běžných úloh.

Microsoft Sentinel nativně zahrnuje osvědčené služby Azure, jako jsou Log Analytics a Logic Apps. Microsoft Sentinel rozšiřuje vaše šetření a detekci o AI. Poskytuje stream analýzy hrozeb od Microsoftu a umožňuje vám používat vlastní analýzu hrozeb.

Poznámka

Tato služba podporuje Službu Azure Lighthouse, která poskytovatelům služeb umožňuje přihlásit se ke svému vlastnímu tenantovi a spravovat předplatná a skupiny prostředků, které zákazníci delegovali.

Shromažďování dat pomocí datových konektorů

Pokud chcete nasadit službu Microsoft Sentinel, musíte se nejprve připojit ke zdrojům dat.

Microsoft Sentinel se dodává s mnoha konektory pro řešení Microsoftu, které jsou k dispozici po instalaci a poskytují integraci v reálném čase. Mezi tyto konektory patří:

  • Zdroje Microsoftu, jako jsou Microsoft 365 Defender, Microsoft Defender for Cloud, Office 365, Microsoft Defender for IoT a další.
  • Zdroje služeb Azure, jako jsou Azure Active Directory, Azure Activity, Azure Storage, Azure Key Vault, Azure Kubernetes Service a další.

Microsoft Sentinel má integrované konektory pro širší ekosystémy zabezpečení a aplikací pro řešení od jiných společností než Microsoft. K propojení zdrojů dat se službou Microsoft Sentinel můžete použít také běžný formát událostí, Syslog nebo rozhraní REST-API.

Další informace najdete v tématu Vyhledání datového konektoru.

Snímek obrazovky se stránkou datových konektorů ve službě Microsoft Sentinel, která zobrazuje seznam dostupných konektorů

Vytváření interaktivních sestav pomocí sešitů

Po připojení ke službě Microsoft Sentinel monitorujte data pomocí integrace se sešity Služby Azure Monitor.

Sešity se ve službě Microsoft Sentinel zobrazují jinak než ve službě Azure Monitor. Může pro vás ale být užitečné zjistit, jak vytvořit sešit ve službě Azure Monitor. Microsoft Sentinel umožňuje vytvářet vlastní sešity napříč vašimi daty. Součástí služby Microsoft Sentinel jsou také integrované šablony sešitů, které vám umožní rychle získat přehled o datech hned po připojení zdroje dat.

Snímek obrazovky se stránkou sešitů ve službě Microsoft Sentinel se seznamem dostupných sešitů

Sešity jsou určené pro techniky SOC a analytiky všech úrovní, aby mohli vizualizovat data.

Sešity se nejlépe používají pro zobrazení dat služby Microsoft Sentinel na vysoké úrovni a nevyžadují znalosti kódování. Nemůžete ale integrovat sešity s externími daty.

Korelace upozornění na incidenty pomocí analytických pravidel

Služba Microsoft Sentinel používá analýzy ke korelaci výstrah s incidenty, aby vám pomohla snížit šum a minimalizovat počet výstrah, které musíte kontrolovat a prošetřit. Incidenty jsou skupiny souvisejících výstrah, které společně indikují možnou možnou hrozbu, kterou můžete prozkoumat a vyřešit. Použijte předdefinovaná pravidla korelace tak, jak jsou, nebo je použijte jako výchozí bod k vytvoření vlastních pravidel korelace. Microsoft Sentinel také poskytuje pravidla strojového učení, která mapují chování sítě a následně vyhledávají anomálie napříč vašimi prostředky. Tyto analýzy propojují tečky tím, že zkombinují výstrahy s nízkou věrností o různých entitách do potenciálních vysoce věrných incidentů zabezpečení.

Snímek obrazovky se stránkou incidentů ve službě Microsoft Sentinel se seznamem otevřených incidentů

Automatizace a orchestrace běžných úloh pomocí playbooků

Automatizujte běžné úlohy a zjednodušte orchestraci zabezpečení pomocí playbooků , které se integrují se službami Azure a vašimi stávajícími nástroji.

Řešení automatizace a orchestrace služby Microsoft Sentinel poskytuje vysoce rozšiřitelné architektury, která umožňuje škálovatelnou automatizaci, když se objevují nové technologie a hrozby. Pokud chcete vytvářet playbooky pomocí Azure Logic Apps, můžete si vybrat z rozrůstající se galerie předdefinovaných playbooků. Patří mezi ně více než 200 konektorů pro služby, jako je Azure Functions. Konektory umožňují použít v kódu libovolnou vlastní logiku, například:

  • ServiceNow
  • Jira
  • Zendesk
  • Požadavky HTTP
  • Microsoft Teams
  • Slack
  • Azure Active Directory
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Cloud Apps

Pokud například používáte systém lístků ServiceNow, použijte Azure Logic Apps k automatizaci pracovních postupů a otevření lístku v ServiceNow při každém vygenerování konkrétní výstrahy nebo incidentu.

Snímek obrazovky s ukázkovým automatizovaným pracovním postupem v Azure Logic Apps, kde incident může aktivovat různé akce

Playbooky jsou určené pro techniky a analytiky SOC všech úrovní k automatizaci a zjednodušení úloh, včetně příjmu dat, rozšiřování, šetření a nápravy.

Playbooky fungují nejlépe s jedinými opakovatelnými úkoly a nevyžadují znalosti kódování. Playbooky nejsou vhodné pro ad hoc nebo složité řetězy úkolů ani pro dokumentaci a sdílení důkazů.

Zkoumání rozsahu a původní příčiny bezpečnostních hrozeb

Nástroje pro hloubkové šetření služby Microsoft Sentinel vám pomůžou porozumět rozsahu potenciální bezpečnostní hrozby a najít hlavní příčinu. V interaktivním grafu můžete vybrat entitu, která bude klást zajímavé otázky pro konkrétní entitu, a přejít k podrobnostem o této entitě a jejích připojeních, abyste se dostali k původní příčině hrozby.

Snímek obrazovky s vyšetřováním incidentu, který zobrazuje entitu a připojené entity v interaktivním grafu

Proaktivní vyhledávání bezpečnostních hrozeb pomocí předdefinovaných dotazů

Využijte výkonné nástroje microsoft Sentinelu proaktivního vyhledávání a dotazů založené na architektuře MITRE, které umožňují proaktivně vyhledávat bezpečnostní hrozby ve zdrojích dat vaší organizace před aktivací upozornění. Vytvořte vlastní pravidla detekce na základě dotazu proaktivního vyhledávání. Pak tyto přehledy zobrazíte jako výstrahy pro osoby reagující na incidenty zabezpečení.

Při proaktivním vyhledávání vytvořte záložky, abyste se později vrátili k zajímavým událostem. Pomocí záložky můžete sdílet událost s ostatními. Nebo můžete seskupit události s jinými korelujícími událostmi, abyste vytvořili přesvědčivý incident pro šetření.

Snímek obrazovky se stránkou proaktivního vyhledávání ve službě Microsoft Sentinel, která zobrazuje seznam dostupných dotazů

Vylepšení proaktivního vyhledávání hrozeb pomocí poznámkových bloků

Microsoft Sentinel podporuje poznámkové bloky Jupyter v pracovních prostorech Azure Machine Learning, včetně úplných knihoven pro strojové učení, vizualizace a analýzu dat.

Pomocí poznámkových bloků ve službě Microsoft Sentinel můžete rozšířit rozsah toho, co můžete dělat s daty služby Microsoft Sentinel. Příklad:

  • Provádět analýzy, které nejsou integrované ve službě Microsoft Sentinel, jako jsou některé funkce strojového učení Pythonu.
  • Vytvářejte vizualizace dat, které nejsou integrované ve službě Microsoft Sentinel, jako jsou vlastní časové osy a stromy procesů.
  • Integrujte zdroje dat mimo službu Microsoft Sentinel, jako je místní datová sada.

Snímek obrazovky s poznámkovým blokem sentinelu v pracovním prostoru služby Azure Machine Learning

Poznámkové bloky jsou určené pro hledače hrozeb nebo analytiky vrstvy 2–3, vyšetřovatele incidentů, datové vědce a pracovníky zabývající se zabezpečením. Vyžadují vyšší křivku učení a znalosti kódování. Mají omezenou podporu automatizace.

Poznámkové bloky ve službě Microsoft Sentinel poskytují:

  • Dotazy na microsoft sentinel i externí data
  • Funkce pro rozšiřování, zkoumání, vizualizaci, proaktivní vyhledávání, strojové učení a analýzu velkých objemů dat

Poznámkové bloky jsou nejvhodnější pro:

  • Složitější řetězy opakovatelných úkolů
  • Ad hoc procesní kontroly
  • Strojové učení a vlastní analýza

Poznámkové bloky podporují bohaté knihovny Pythonu pro manipulaci s daty a jejich vizualizaci. Jsou užitečné k dokumentaci a sdílení analytických důkazů.

Stažení obsahu zabezpečení z komunity

Komunita Služby Microsoft Sentinel je výkonným prostředkem pro detekci a automatizaci hrozeb. Naši analytici zabezpečení Microsoftu vytvářejí a přidávají nové sešity, playbooky, proaktivní dotazy a další. Tyto položky obsahu publikují do komunity, abyste je mohli používat ve svém prostředí. Stáhněte si ukázkový obsah z úložiště GitHub soukromé komunity a vytvořte vlastní sešity, dotazy proaktivního vyhledávání, poznámkové bloky a playbooky pro Microsoft Sentinel.

Snímek obrazovky s úložištěm GitHub pro Microsoft Sentinel a obsahem ke stažení, jako jsou dotazy pro vyhledávání, analyzátory a playbooky

Další kroky