Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Microsoft Sentinel je nativní cloudová platforma zabezpečení a správa událostí (SIEM) a sjednocená platforma zabezpečení pro ochranu agentů. Kvůli splnění požadavků dnešních složitých hrozeb se Microsoft Sentinel vyvinul z tradičního systému SIEM na SIEM a platformu – rozšiřuje se nad rámec statických kontrolních mechanismů založených na pravidlech a reakce na porušení zabezpečení a poskytuje základ pro AI připravenou, první datovou základnu, která transformuje telemetrii na graf zabezpečení, standardizuje přístup pro agenty a koordinuje autonomní akce a současně udržuje lidi ve velení strategie a vyšetřování s vysokým dopadem.
Microsoft Sentinel jako SIEM poskytuje zabezpečení řízené AI napříč více cloudovými a multiplatformními prostředími a nabízí robustní možnosti pro detekci hrozeb, vyšetřování, proaktivní vyhledávání, reakci a automatizované přerušení útoků. Jako platforma poskytuje Microsoft Sentinel základ založený na moderním datovém jezeře pro hloubkové přehledy, možnosti grafů pro kontextovou analýzu, server MCP (Hostovaný model Context Protocol) pro nástroje připravené na agenty a vývojářské funkce pro vytváření a nasazování řešení prostřednictvím služby Security Store.
Tento článek obsahuje přehled služby Microsoft Sentinel a jejích základních komponent. Vysvětluje, jak Microsoft Sentinel pomáhá týmům operací zabezpečení zjišťovat hrozby a reagovat na ně a průběžně se přizpůsobovat sjednocením dat, automatizací odpovědí a odvozením přehledů řízených AI.
AI-first, ucelená platforma SIEM a zabezpečení
Tento diagram znázorňuje AI-orientovanou, komplexní, end-to-end platformu SIEM a zabezpečení Microsoft Sentinelu, která zvýrazňuje její základní komponenty a integraci s Microsoft Security Copilotem.
Microsoft Sentinel SIEM
Cloudově nativní řešení Microsoft Sentinel SIEM poskytuje zabezpečení založené na umělé inteligenci napříč multicloudovými a multiplatformními prostředími. Poskytuje komplexní možnosti pro detekci hrozeb, vyšetřování, reakci a proaktivní vyhledávání, čímž poskytuje bezpečnostním týmům jednotný přehled o jejich organizaci.
Microsoft Sentinel SIEM je k dispozici na portálu Microsoft Defender - pro zákazníky s nebo bez licence Defender XDR nebo E5 - nabízející jednotné prostředí pro zajištění bezpečnostních operací. Tato integrace zjednodušuje pracovní postupy, zlepšuje viditelnost a pomáhá analytikům reagovat rychleji a přesněji na stále složitější hrozby.
Integrace siem Microsoft Sentinelu s portálem Defender a nástrojem Security Copilot vytváří výkonný ekosystém, který vylepšuje operace zabezpečení. Funkce Security Copilot umožňuje analytikům pracovat s daty Microsoft Sentinelu pomocí přirozeného jazyka, generovat dotazy proaktivního vyhledávání a automatizovat vyšetřování, což umožňuje rychlejší a přístupnější reakci na hrozby.
Další informace najdete v tématu Co je Microsoft Sentinel SIEM?
Konektory dat
Shromážděte data v rámci celého digitálního majetku bez ohledu na to, kde se data nacházejí, včetně všech uživatelů, zařízení, aplikací a infrastruktury, a to jak místně, tak i v několika cloudech:
350 a více předefinovaných datových konektorů s podporou řešení zabezpečení a cloudových platforem třetích stran
Integrované prostředí pro správu tabulek, které zjednodušuje výběr úložiště dat a podporuje vrstvené umístění napříč vrstvami analýzy a datového jezera.
Data přijatá do analytické vrstvy se automaticky zrcadlí ve vrstvě datového jezera, což zajistí, že vrstva datového jezera zůstane centrálním jednotným úložištěm pro všechna bezpečnostní data.
Možnosti bez programování a konektory na míru
Normalizace dat pro překlad různých zdrojů do jednotného, normalizovaného zobrazení
Další informace najdete v datových konektorech Microsoft Sentinelu.
Základní komponenty platformy Microsoft Sentinel
Microsoft Sentinel Data Lake
Microsoft Sentinel data lake je plně spravované, cloudové řešení, navržené speciálně pro bezpečnostní operace. Sjednocuje, uchovává a analyzuje škálovaná data zabezpečení – poskytuje základ pro pokročilé analýzy, přehledy řízené AI a agentskou obranu.
Datové jezero navržené pro flexibilitu a hloubku podporuje vícemodální analýzy – včetně dotazů Kusto, analýzy relací založených na grafech, Microsoft Modeling Language (MML), agentů Security Copilot a poznámkových bloků poháněných umělou inteligencí ve Visual Studio Code – to vše na jedné kopii dat v otevřeném formátu.
Díky nákladově efektivnímu úložišti a dlouhodobému uchovávání můžou bezpečnostní týmy zkoumat trvalé hrozby, rozšiřovat výstrahy historickým kontextem a vytvářet směrné plány chování s využitím měsíců dat bez režie tradiční infrastruktury.
Mezi klíčové funkce služby Microsoft Sentinel Data Lake patří:
Centralizuje protokoly z Microsoftu 365, Defenderu, Azure, Microsoft Entra, Microsoft Purview, Microsoft Intune a více než 350 datových konektorů – včetně Amazon Web Services (AWS) a Google Cloud Platform (GCP) – a eliminuje datové izolace.
Optimalizuje náklady oddělením příjmu dat od analýz, takže můžete ukládat obrovské objemy dat zabezpečení a používat nejúčinnější analytické moduly pro úlohy, jako je proaktivní vyhledávání hrozeb, detekce anomálií a hloubkové forenzní šetření.
Umožňuje multimodální analýzu jedné kopie opensourcových dat pomocí dotazů Kusto, plánovaných úloh a poznámkových bloků využívajících AI v editoru Visual Studio Code – nevyžaduje se žádné nastavení infrastruktury.
Další informace najdete v tématu Co je datové jezero Microsoft Sentinelu?
Microsoft Sentinel graf
Graf Microsoft Sentinelu poskytuje jednotné možnosti analýzy grafů modelováním a analýzou složitých vztahů mezi prostředky, identitami, aktivitami a analýzami hrozeb. Umožňuje agentům Microsoft Defenderu a umělé inteligence zdůvodnění propojených dat a nabízí hlubší přehledy a rychlejší reakci na kybernetické hrozby.
Mezi klíčové funkce grafu Microsoft Sentinelu patří:
- Sjednocené analýzy založené na grafech, které poskytují vestavěné funkce v oblasti zabezpečení, dodržování předpisů, identity a ekosystému zabezpečení Microsoft.
- Modelování vztahů reálného světa, které používá uzly a hrany k reprezentaci uživatelů, zařízení, cloudových prostředků, toků dat a akcí útočníka
- Vylepšené zpracování hrozeb, které Defenderům pomůže zodpovědět složité otázky, například které zranitelné cesty může útočník využít z kompromitované entity ke kritickému aktivu.
- Kompletní obrana s podporou před porušením zabezpečení i po porušení zabezpečení s využitím vzájemně propojených grafů v programu Microsoft Defender a Microsoft Purview.
Další informace najdete v tématu Co je Microsoft Sentinel Graph?
Server protokolu MCP (Microsoft Sentinel Model Context Protocol)
Server MCP služby Microsoft Sentinel poskytuje jednotné hostované rozhraní, které týmům zabezpečení umožňuje pracovat s daty zabezpečení pomocí přirozeného jazyka a vytvářet inteligentní agenty zabezpečení – bez nastavení infrastruktury nebo vlastních konektorů. Tato integrace zjednodušuje zkoumání a automatizaci dat, což usnadňuje přístupnější a efektivnější operace zabezpečení řízené AI.
Mezi klíčové funkce serveru MCP služby Microsoft Sentinel patří:
- Hostované rozhraní, které používá Microsoft Entra pro identitu a podporuje kompatibilní klienty pro bezproblémové operace AI.
- Nástroje pro zabezpečení přirozeného jazyka, včetně nástrojů zaměřených na scénáře pro dotazování a odůvodnění datového jezera Microsoft Sentinelu bez znalosti schématu nebo kódování
- Zrychlené vytváření agentů, kde můžou inženýři vytvářet přizpůsobené agenty zabezpečení pomocí přirozeného jazyka, což snižuje ruční úsilí a urychluje automatizaci.
- Nativní integrace s datovým jezerem Microsoft Sentinelu umožňuje bohaté kontextové inženýrství bez ohrožení pokrytí dat nebo nákladů.
Další informace najdete v tématu Co je podpora služby Microsoft Sentinel pro protokol MCP (Model Context Protocol)?
Prostředí pro vývojáře v Microsoft Sentinelu
Microsoft Sentinel nabízí partnerům rozsáhlé možnosti pro vytváření působivých řešení, která můžou publikovat prostřednictvím Microsoft Security Store nebo centra obsahu SIEM služby Microsoft Sentinel. Díky microsoft Sentinelu můžete podporovat nové scénáře s využitím široké škály bezpečnostních dat, možností zpracování a prostředí AI, aniž by bylo nutné vytvářet nové kanály, výpočetní moduly nebo infrastrukturu úložiště.
Partneři můžou například vytvářet, zabalit a publikovat:
- Obsah SIEM pro Microsoft Sentinel, jako jsou konektory, analytická pravidla, dotazy proaktivního vyhledávání a playbooky.
- Obsah platformy Microsoft Sentinel, jako jsou konektory, úlohy poznámkového bloku Jupyter k analýze dat a agenti, kteří tato data korelují s existujícím obsahem lake. Agent pak může komunikovat s dalšími koncovými body a externími aplikacemi, aby zákazníkům poskytl výkonné jednotné prostředí.
Další informace najdete v tématu Sestavení a publikování řešení Microsoft Sentinel.
Začínáme
Pokud chcete začít používat platformu Microsoft Sentinel a SIEM, přečtěte si téma:
- Zavádění Microsoft Sentinel
- Připojení ke službě Microsoft Sentinel Data Lake a Microsoft Sentinel Graphu
- Datový konektor Microsoft Sentinel
- Začínáme se serverem MCP služby Microsoft Sentinel (Preview)
- Správa datových vrstev a uchovávání na portálu Microsoft Defenderu (Preview)
- Správa a monitorování nákladů pro Microsoft Sentinel
- Poznámkové bloky Jupyter v datovém jezeře Microsoft Sentinelu
- Sestavování a publikování řešení Microsoft Sentinel