Mi az a Microsoft Sentinel?
A Microsoft Sentinel egy méretezhető, natív felhőbeli biztonsági információ és eseménykezelés (SIEM), amely intelligens és átfogó megoldást kínál a SIEM és a biztonsági vezénylés, az automatizálás és a válasz (SOAR) számára. A Microsoft Sentinel a kibertámadások észlelését, vizsgálatát, reagálását és proaktív vadászatát biztosítja, és madártávlatból tekintheti meg vállalatát.
A Microsoft Sentinel natív módon olyan bevált Azure-szolgáltatásokat is tartalmaz, mint a Log Analytics és a Logic Apps, és mivel bővíti a vizsgálatot és az észlelést. A Microsoft fenyegetésintelligencia-adatfolyamát is használja, és lehetővé teszi a saját fenyegetésfelderítés használatát is.
A Microsoft Sentinel használatával enyhítheti az egyre kifinomultabb támadások, a riasztások számának növekedése és a hosszú megoldási időkeretek okozta stresszt. Ez a cikk a Microsoft Sentinel főbb funkcióit ismerteti.
Fontos
A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
A Microsoft Sentinel örökli az Azure Monitor illetéktelen hozzáférés-ellenőrző és módosíthatatlansági eljárásait. Bár az Azure Monitor egy csak hozzáfűző adatplatform, az adatok megfelelőségi célú törlésére vonatkozó rendelkezéseket is tartalmaz.
Ez a szolgáltatás támogatja az Azure Lighthouse-t, amely lehetővé teszi, hogy a szolgáltatók bejelentkezhessenek a saját bérlőjükbe az ügyfelek által delegált előfizetések és erőforráscsoportok kezeléséhez.
A dobozon kívüli biztonsági tartalom engedélyezése
A Microsoft Sentinel SIEM-megoldásokba csomagolt biztonsági tartalmakat biztosít, amelyek lehetővé teszik az adatok betöltését, figyelését, riasztását, keresését, kivizsgálását, megválaszolását és a különböző termékekhez, platformokhoz és szolgáltatásokhoz való kapcsolódást.
További információ: A Microsoft Sentinel tartalmai és megoldásai.
Adatok gyűjtése nagy méretekben
Gyűjtsön adatokat az összes felhasználó, eszköz, alkalmazás és infrastruktúra között, mind a helyszíni, mind a több felhőben.
Az alábbi táblázat a Microsoft Sentinel adatgyűjtéshez szükséges legfontosabb funkcióit emeli ki.
| Funkció | Leírás | Első lépések |
|---|---|---|
| A dobozon kívüli adatösszekötők | Számos összekötő SIEM-megoldásokkal van csomagolva a Microsoft Sentinelhez, és valós idejű integrációt biztosít. Ezek az összekötők közé tartoznak a Microsoft-források és az Azure-források, például a Microsoft Entra ID, az Azure Activity, az Azure Storage stb. A beépített összekötők a nem Microsoft-megoldások szélesebb körű biztonsági és alkalmazás-ökoszisztémáihoz is elérhetők. Az adatforrások a Microsoft Sentinelhez való csatlakoztatásához gyakran használt eseményformátumot, Syslogot vagy REST-API-t is használhat. |
Microsoft Sentinel-adatösszekötők |
| Egyéni összekötők | A Microsoft Sentinel támogatja egyes forrásokból származó adatok dedikált összekötő nélküli betöltését. Ha egy meglévő megoldással nem tudja csatlakoztatni az adatforrást a Microsoft Sentinelhez, hozzon létre saját adatforrás-összekötőt. | Erőforrások egyéni Microsoft Sentinel-összekötők létrehozásához. |
| Adat normalizálása | A Microsoft Sentinel a lekérdezési időt és a betöltési idő normalizálását is használja a különböző források egységes, normalizált nézetté alakításához. | Normalizálás és az Advanced Security Information Model (ASIM) |
Fenyegetésészlelés
Észlelje a korábban nem észlelt fenyegetéseket, és minimalizálja a hamis pozitív értékeket a Microsoft elemzési és páratlan fenyegetésfelderítési funkciójával.
Az alábbi táblázat a Microsoft Sentinel fenyegetésészlelési funkcióit emeli ki.
| Kapacitás | Leírás | Első lépések |
|---|---|---|
| Elemzés | Segít csökkenteni a zajt, és minimalizálni a felülvizsgálandó és kivizsgálandó riasztások számát. A Microsoft Sentinel elemzéssel csoportosítja a riasztásokat incidensekbe. Használja a beépített elemzési szabályokat, vagy kiindulási pontként saját szabályokat hozhat létre. A Microsoft Sentinel emellett szabályokat is biztosít a hálózati viselkedés leképezéséhez, majd az erőforrások közötti anomáliák kereséséhez. Ezek az elemzések összekapcsolják a pontokat a különböző entitásokra vonatkozó alacsony megbízhatósági riasztások lehetséges magas megbízhatóságú biztonsági incidensekkel való kombinálásával. | Fenyegetések beépített észlelése |
| MITRE ATT&CK lefedettség | A Microsoft Sentinel nemcsak a fenyegetések észlelésére és a kivizsgálásban segít, hanem a szervezet biztonsági állapotának természetét és lefedettségét is megjeleníti a MITRE ATT&CK-keretrendszer® taktikái és technikái alapján. | A MITRE ATT&CK-keretrendszer® biztonsági lefedettségének ismertetése |
| Fenyegetésészlelési intelligencia | A fenyegetésfelderítés számos forrását integrálhatja a Microsoft Sentinelbe, hogy észlelje a környezetében lévő rosszindulatú tevékenységeket, és kontextust biztosítson a biztonsági nyomozóknak a megalapozott válaszokkal kapcsolatos döntésekhez. | Fenyegetésfelderítés a Microsoft Sentinelben |
| Figyelőlisták | Korrelálja az adatokat egy ön által megadott adatforrásból, egy figyelőlistáról a Microsoft Sentinel-környezet eseményeivel. Létrehozhat például egy figyelőlistát a környezetében lévő nagy értékű eszközök, megszüntetett alkalmazottak vagy szolgáltatásfiókok listájával. Használjon figyelőlistákat a kereséshez, az észlelési szabályokhoz, a fenyegetéskereséshez és a válasz forgatókönyvekhez. | Figyelőlisták a Microsoft Sentinelben |
| Munkafüzetek | Interaktív vizualizációs jelentések létrehozása munkafüzetek használatával. A Microsoft Sentinel beépített munkafüzetsablonokkal rendelkezik, amelyek lehetővé teszik, hogy az adatforrások csatlakoztatása után gyorsan betekintést nyerjen az adatokba. Vagy hozzon létre saját egyéni munkafüzeteket. | Összegyűjtött adatok vizualizációja. |
Fenyegetések vizsgálata
Mesterséges intelligenciával vizsgálja meg a fenyegetéseket, és nagy léptékben keressen gyanús tevékenységeket, és koppintson a Microsoft több éves kiberbiztonsági munkájára.
Az alábbi táblázat a Microsoft Sentinel veszélyforrások kivizsgálása szempontjából fontos funkcióit emeli ki.
| Szolgáltatás | Leírás | Első lépések |
|---|---|---|
| Incidensek | A Microsoft Sentinel részletes vizsgálati eszközei segítenek megérteni a hatókört, és megtalálni a lehetséges biztonsági fenyegetések kiváltó okát. Az interaktív grafikonon kiválaszthat egy entitást, amely érdekes kérdéseket tehet fel egy adott entitással kapcsolatban, és részletezheti az entitást és kapcsolatait, hogy megismerje a fenyegetés kiváltó okát. | Navigálás és incidensek kivizsgálása a Microsoft Sentinelben |
| Vadászik | A Microsoft Sentinel hatékony keresési és lekérdezési eszközei, amelyek a MITRE-keretrendszeren alapulnak, lehetővé teszik a biztonsági fenyegetések proaktív keresését a szervezet adatforrásai között a riasztások aktiválása előtt. Hozzon létre egyéni észlelési szabályokat a keresési lekérdezés alapján. Ezután ezeket az elemzéseket riasztásként jelenítheti meg a biztonsági incidensek válaszadói számára. | Fenyegetéskeresés a Microsoft Sentinelben |
| Jegyzetfüzetek | A Microsoft Sentinel támogatja a Jupyter-jegyzetfüzeteket az Azure Machine Learning-munkaterületeken, beleértve a gépi tanuláshoz, vizualizációhoz és adatelemzéshez szükséges teljes kódtárakat. A Microsoft Sentinel jegyzetfüzeteivel bővítheti a Microsoft Sentinel-adatokkal elvégezhető műveletek körét. Példa: – Olyan elemzéseket végezhet, amelyek nem a Microsoft Sentinelbe vannak beépítve, például pythonos gépi tanulási funkciókat. – Olyan adatvizualizációkat hozhat létre, amelyek nem a Microsoft Sentinelbe épülnek, például egyéni ütemterveket és folyamatfákat. – Integrálja a Microsoft Sentinelen kívüli adatforrásokat, például egy helyszíni adatkészletet. |
Jupyter notebookok a Microsoft Sentinel vadászati képességeivel |
Gyors reagálás az incidensekre
Automatizálhatja a gyakori feladatokat, és egyszerűbbé teheti a biztonsági vezénylést az Azure-szolgáltatásokkal és a meglévő eszközökkel integrálható forgatókönyvekkel. A Microsoft Sentinel automatizálása és vezénylése rendkívül bővíthető architektúrát biztosít, amely lehetővé teszi a méretezhető automatizálást új technológiák és fenyegetések megjelenésekor.
A Microsoft Sentinel forgatókönyvei az Azure Logic Appsben létrehozott munkafolyamatokon alapulnak. Ha például a ServiceNow jegykezelő rendszert használja, az Azure Logic Apps használatával automatizálhatja a munkafolyamatokat, és megnyithat egy jegyet a ServiceNow-ban minden egyes riasztás vagy incidens létrehozásakor.
Az alábbi táblázat a Microsoft Sentinel veszélyforrás-reagálási funkcióit emeli ki.
| Szolgáltatás | Leírás | Első lépések |
|---|---|---|
| Automatizálási szabályok | Az incidenskezelés automatizálásának központi kezelése a Microsoft Sentinelben a különböző forgatókönyveket lefedő szabályok kis csoportjának meghatározásával és koordinálásával. | Veszélyforrások elhárításának automatizálási szabályokkal történő automatizálása a Microsoft Sentinelben |
| Forgatókönyvek | Automatizálhatja és vezényelheti a fenyegetésre adott választ forgatókönyvek használatával, amelyek szervizelési műveletek gyűjteményei. Egy forgatókönyvet igény szerint vagy automatikusan futtathat adott riasztásokra vagy incidensekre válaszul, ha egy automatizálási szabály aktiválja. Forgatókönyvek Azure Logic Apps-lel való létrehozásához válasszon egy folyamatosan bővülő összekötőgyűjteményből különböző szolgáltatásokhoz és rendszerekhez, például a ServiceNow-hoz, a Jira-hoz és sok máshoz. Ezek az összekötők lehetővé teszik bármilyen egyéni logika alkalmazását a munkafolyamatban. |
Fenyegetéskezelés automatizálása forgatókönyvekkel a Microsoft Sentinelben Az összes logikai Alkalmazás-összekötő listája |