הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
Microsoft Sentinel הוא פתרון SIEM מקורי בענן, המספק אבטחה מדרגית ועלויות-יעילות בסביבות מרובות עננים וריבוי צורות. היא משלבת בינה מלאכותית, אוטומציה ואינטיליגנציה של איומים כדי לתמוך בזיהוי איומים, חקירה, תגובה וצייד יזום.
Microsoft Sentinel SIEM מאפשרת לאנליסטים לצפות ולעצור מתקפות על-פני עננים ופלטפורמות, במהירות וברמת דיוק גבוהה יותר.
מאמר זה מדגיש את היכולות העיקריות Microsoft Sentinel.
Microsoft Sentinel יורשת את שיטות העבודה של Azure-שלא כדין ולהגהה שלא כדין. למרות Azure Monitor היא פלטפורמת נתונים לצירוף בלבד, היא כוללת הקצאות למחיקת נתונים למטרות תאימות.
שירות זה Azure ב- Lighthouse, המאפשר לספקי שירות להיכנס לדייר שלהם כדי לנהל מנויים וקבוצות משאבים שלקוחות הקצה.
הפוך תוכן אבטחה שזמין מחוץ לתיבה
Microsoft Sentinel מספק תוכן אבטחה ארוז בפתרונות SIEM המאפשרים לך לנטר, לנטר, להתריע, לחפש, לחקור, להגיב ולחבר עם מוצרים, פלטפורמות ושירותים שונים.
לקבלת מידע נוסף, ראה אודות Microsoft Sentinel ופתרונות נוספים.
איסוף נתונים בקנה מידה רחב
אסוף נתונים בכל המשתמשים, המכשירים, האפליקציות והתשתית, הן באופן מקומי והן בעננים מרובים.
טבלה זו מסמנת את היכולות העיקריות Microsoft Sentinel לאיסוף נתונים.
| יכולת | תיאור | תתחיל |
|---|---|---|
| מחברי נתונים שהוצאה מהתיבה | מחברים רבים ארוזים עם פתרונות SIEM Microsoft Sentinel ומספקים שילוב בזמן אמת. מחברים אלה כוללים מקורות של Microsoft Azure מקורות כגון Microsoft Entra ID, Azure פעילות, Azure אחסון ועוד. מחברים שהוצאה מהתיבה זמינים גם עבור המערכת האקולוגית רחבה יותר של אבטחה ויישומים עבור פתרונות שאינם של Microsoft. באפשרותך גם להשתמש בתבנית אירוע נפוצה, ב- Syslog או ב- REST-API כדי לחבר את מקורות הנתונים שלך ל- Microsoft Sentinel. |
Microsoft Sentinel מחברי נתונים |
| מחברים מותאמים אישית | Microsoft Sentinel תומך בלידבקת נתונים ממקורות מסוימים ללא מחבר ייעודי. אם אינך מצליח לחבר את מקור הנתונים שלך Microsoft Sentinel באמצעות פתרון קיים, צור מחבר מקור נתונים משלך. | משאבים ליצירת מחברים Microsoft Sentinel מותאמים אישית. |
| נרמול נתונים | Microsoft Sentinel משתמש הן בתהליך נרמול של זמן שאילתה והן ברגילות כדי לתרגם מקורות שונים לתצוגה אחידה מנורמה. | נרמול ומודל מידע אבטחה מתקדם (ASIM) |
זהה איומים
זהה איומים שלא זוהו בעבר ומזער תוצאות חיוביות מוטעות באמצעות האנליטיות של Microsoft ובינת איומים שאין כמותה.
טבלה זו מדגישה את היכולות העיקריות ב- Microsoft Sentinel לזיהוי איומים.
| קיבולת | תיאור | תתחיל |
|---|---|---|
| ניתוחים | עוזר לך להפחית את הרעש ולמזער את מספר ההתראות שיש לסקור ולחקור. Microsoft Sentinel ניתוחים כדי לקבץ התראות באירועים. השתמש בכללים האנליטיים המו לצאת מהתיבה כפי שאתה, או כנקודת התחלה לבניית כללים משלך. Microsoft Sentinel גם מספק כללים למיפוי אופן הפעולה של הרשת שלך ולאחר מכן חיפוש חריגות בכל המשאבים שלך. ניתוחים אלה מחברים את הנקודות, על-ידי שילוב התראות באיכות נמוכה אודות ישויות שונות לתקריות אבטחה פוטנציאליות באיכות גבוהה. | זהה איומים מחוץ לתיבה |
| כיסוי MITRE ATT&CK | Microsoft Sentinel מנתח נתונים שהוטבלו, לא רק כדי לזהות איומים ולעזור לך לחקור, אלא גם להציג באופן חזותי את הטבע והכיסוי של מצב האבטחה של הארגון שלך בהתבסס על הטקטיקות והטכניקות ממסגרת MITRE ATT&CK®. | הבנת כיסוי האבטחה על-ידי MITRE ATT&CK® |
| מודיעין איומים | שלב מקורות רבים של בינת איומים לתוך Microsoft Sentinel לזהות פעילות זדונית בסביבה שלך ולספק הקשר לחוקרים אבטחה לקבלת החלטות תגובה מושכלות. | מודיעין איומים Microsoft Sentinel |
| רשימות מעקב | תאם נתונים ממקור נתונים שאתה מספק, רשימת מעקב, עם האירועים בסביבה Microsoft Sentinel שלך. לדוגמה, באפשרותך ליצור רשימת מעקב עם רשימה של נכסים בעלי ערך גבוה, עובדים שהופסקו או חשבונות שירות בסביבה שלך. השתמש ברשימת מעקב בחיפוש, בכללי הזיהוי, בזיהוי איומים ובספרי הפעלות תגובה. | רשימת מעקב ב- Microsoft Sentinel |
| חוברות עבודה | צור דוחות חזותיים אינטראקטיביים באמצעות חוברות עבודה. Microsoft Sentinel מגיע עם תבניות חוברת עבודה מוכללות המאפשרות לך לקבל במהירות תובנות בכל הנתונים שלך ברגע שאתה מחבר מקור נתונים. לחלופין, צור חוברות עבודה מותאמות אישית משלך. | הצג נתונים שנאספו באופן חזותי. |
בדוק איומים
חקור איומים באמצעות בינה מלאכותית, ותצוד פעילויות חשודות בקנה מידה גדול, תוך הקשה על שנים של עבודת אבטחת סייבר ב- Microsoft.
טבלה זו מדגישה את היכולות העיקריות Microsoft Sentinel לבדיקה של איומים.
| תכונה | תיאור | תתחיל |
|---|---|---|
| מקרים | Microsoft Sentinel חקירה עמוקה עוזרים לך להבין את הטווח ולחפש את סיבת הבסיס לאיום אבטחה פוטנציאלי. באפשרותך לבחור ישות בגרף האינטראקטיבי כדי לשאול שאלות מעניינות עבור ישות ספציפית, ולהיכנס לישות זו ולחיבוריה כדי להגיע אל סיבת הבסיס של האיום. | ניווט ועיון באירועים Microsoft Sentinel |
| צד | Microsoft Sentinel כלי החיפוש והשאילתה רבי העוצמה של Microsoft Sentinel, המבוססים על מסגרת MITRE, מאפשרים לך לחפש באופן יזום איומי אבטחה בכל מקורות הנתונים של הארגון שלך, לפני שתופעל התראה. צור כללי זיהוי מותאמים אישית בהתבסס על שאילתת הציד שלך. לאחר מכן, הצג תובנות אלה כהתראות למגיבים לתקריות האבטחה שלך. | ציד איומים Microsoft Sentinel |
| מחשבים ניידים | Microsoft Sentinel מחברת של Jupyter בסביבות Azure של למידת מכונה, כולל ספריות מלאות עבור למידת מכונה, המחשה וניתוח נתונים. השתמש במחברות Microsoft Sentinel כדי להרחיב את טווח הפעולות שניתן לבצע Microsoft Sentinel נתונים. לדוגמה: - לבצע ניתוחים שאינם מוכללים ב- Microsoft Sentinel, כגון תכונות מסוימות של למידת מכונה של Python. - ליצור פריטים חזותיים של נתונים שאינם מוכללים כדי Microsoft Sentinel, כגון צירי זמן מותאמים אישית ועצי תהליך. - לשלב מקורות נתונים מחוץ Microsoft Sentinel, כגון ערכת נתונים מקומית. |
מחברות תוכנות ריגול Microsoft Sentinel יכולות ציד |
תגובה מהירה לתקריות
הפוך את המשימות הנפוצות לאוטומטיות ופשט את תזמור האבטחה בעזרת ספרי משחקים שמשתלבים עם Azure שלך וכלים הקיימים שלך. Microsoft Sentinel והתימור של Microsoft Sentinel מספקת ארכיטקטורה ניתנת להרחבה המאפשרת אוטומציה מדרגית כאשר טכנולוגיות ואיומים חדשים מתפתחים.
ספרי המשחק ב- Microsoft Sentinel מבוססים על זרימות עבודה המוכללות ב Azure Logic Apps. לדוגמה, אם אתה משתמש במערכת ServiceNow לרכישת כרטיסים, השתמש ב- Azure Logic Apps כדי להפוך את זרימות העבודה לאוטומטיות ולפתוח כרטיס ב- ServiceNow בכל פעם שנוצרת התראה או אירוע מסוימים.
טבלה זו מדגישה את היכולות העיקריות ב- Microsoft Sentinel לתגובה לאיומים.
| תכונה | תיאור | תתחיל |
|---|---|---|
| כללי אוטומציה | נהל באופן מרכזי את האוטומציה של טיפול באירועים Microsoft Sentinel על-ידי הגדרה ותיאום של קבוצה קטנה של כללים המכסה תרחישים שונים. | הפיכת תגובה לאיום לאוטומטית Microsoft Sentinel באמצעות כללי אוטומציה |
| ספרי משחקים | הפוך את תגובת האיום לאוטומטית ותזמור אותה באמצעות ספרי משחקים, שהם אוסף של פעולות תיקון. הפעל ספר הפעלות לפי דרישה או באופן אוטומטי בתגובה להתראות או לתקריות ספציפיות, כאשר כלל אוטומציה מפעיל אותו. כדי לבנות ספרי משחקים באמצעות Azure Logic Apps, בחר מתוך גלריה מתרחבת כל הזמן של מחברים עבור שירותים ומערכות שונים, כגון ServiceNow, Jira ועוד. מחברים אלה מאפשרים לך להחיל כל לוגיקה מותאמת אישית בזרימת העבודה שלך. |
הפיכת תגובה לאיום לאוטומטית באמצעות ספרי Microsoft Sentinel רשימה של כל מחברי היישומים הלוגיים |
Microsoft Sentinel בציר הזמן של Azure הפורטל לפרישה
Microsoft Sentinel זמין בדרך כלל בפורטל Microsoft Defender, כולל עבור לקוחות ללא Microsoft Defender XDR או רשיון E5. פירוש הדבר שבאפשרותך להשתמש Microsoft Sentinel בפורטל Defender גם אם אינך משתמש בשירותים Microsoft Defender אחרים.
לאחר 31 במרץ 2027, Microsoft Sentinel לא ייתמכו עוד בפורטל Azure והוא יהיה זמין רק בפורטל Microsoft Defender.
אם אתה משתמש כעת ב- Microsoft Sentinel בפורטל Azure, מומלץ להתחיל לתכנן את המעבר לפורטל Defender כעת כדי להבטיח מעבר חלק ולנצל את חוויית פעולות האבטחה המאוחדות המוצעת על-ידי Microsoft Defender.
לקבלת מידע נוסף, ראה:
- Microsoft Sentinel בפורטל Microsoft Defender
- העברת Microsoft Sentinel שלך לפורטל Defender
- מתכנן את הניווט לפורטל Microsoft Defender עבור כל לקוחות Microsoft Sentinel (בלוג)
שינויים עבור לקוחות חדשים החל מיולי 2025
למען השינויים המתוארים בסעיף זה, לקוחות Microsoft Sentinel לקוחות הם לקוחות שקלוטו את סביבת העבודה הראשונה בדייר שלהם כדי Microsoft Sentinel.
החל מיולי 2025, לקוחות חדשים שיש להם גם הרשאות של בעלים של מנוי או מנהל גישת משתמש, שאינם משתמשים המוצללים על-ידי Azure, כוללים את סביבות העבודה שלהם מחוברות באופן אוטומטי לפורטל Defender יחד עם צירוף ל- Microsoft Sentinel.
משתמשים בסביבות עבודה כאלה, אשר גם אינם Azure המשתמשים המוצללים על-ידי Lighthouse, רואים קישורים ב- Microsoft Sentinel בפורטל Azure שמנתבים אותם מחדש לפורטל Defender.
לדוגמה:
משתמשים כאלה משתמשים Microsoft Sentinel בפורטל Defender בלבד.
לקוחות חדשים שאין להם הרשאות רלוונטיות אינם מחוברים באופן אוטומטי לפורטל Defender, אך הם עדיין רואים קישורי ניתוב מחדש בפורטל Azure, יחד עם בקשות לצירוף ידני של הרשאות רלוונטיות לפורטל Defender.
טבלה זו מסכמת את החוויות הבאות:
| סוג לקוח | חוויה |
|---|---|
| לקוחות קיימים היוצרים סביבות עבודה חדשות בדייר שבו קיימת כבר סביבת עבודה זמינה עבור Microsoft Sentinel | סביבות עבודה אינן מחוברות באופן אוטומטי, והמשתמשים אינם רואים קישורי ניתוב מחדש |
| Azure משתמשים המוצלים על-ידי Lighthouse היוצרים סביבות עבודה חדשות בכל דייר | סביבות עבודה אינן מחוברות באופן אוטומטי, והמשתמשים אינם רואים קישורי ניתוב מחדש |
| לקוחות חדשים שקלוטו את סביבת העבודה הראשונה בדייר שלהם כדי Microsoft Sentinel |
-
משתמשים בעלי ההרשאות הנדרשות כוללים את סביבת העבודה שלהם עם צירוף אוטומטי. משתמשים אחרים של סביבות עבודה מסוג זה רואים קישורי ניתוב מחדש Azure שלך. - משתמשים שאין להם את ההרשאות הדרושות אינם כוללים את סביבת העבודה שלהם באופן אוטומטי צירוף. כל המשתמשים של סביבות עבודה כאלה רואים קישורי ניתוב מחדש בפורטל Azure, ומשתמש בעל ההרשאות הדרושות חייב לקלוט את סביבת העבודה לפורטל Defender. |