Mi az a Microsoft Sentinel?
Kezdjük néhány definícióval, és nézzük meg a biztonsági információkat és az eseménykezelési (SIEM) rendszereket és a Microsoft Sentinelt.
Mi az a biztonsági információ és eseménykezelés (SIEM)?
A SIEM-rendszer olyan eszköz, amely lehetővé teszi a szervezetek számára a számítógépes rendszerek biztonsági műveleteinek összegyűjtését, elemzését és végrehajtását. Ezek a rendszerek lehetnek hardvereszközök, alkalmazások vagy mindkettő.
A legegyszerűbb formájában a SIEM-rendszer lehetővé teszi, hogy:
- Naplók gyűjtése és lekérdezése.
- Bizonyos típusú korrelációk vagy anomáliadetektálás végzése.
- Riasztások és incidensek létrehozása az eredmények alapján.
A SIEM-rendszer az alábbi funkciókat is lehetővé teszi:
Naplókezelés: A naplóadatok gyűjtésének, tárolásának és lekérdezésének lehetősége a környezet erőforrásaiból.
Riasztás: Proaktív betekintés a naplóadatokba a lehetséges biztonsági incidensek és anomáliák esetén.
Vizualizáció: Grafikonok és irányítópultok, amelyek vizuális betekintést nyújtanak a naplóadatokba.
Incidenskezelés: Az azonosított incidensek létrehozása, frissítése, hozzárendelése és kivizsgálása.
Adatok lekérdezése: A naplókezeléshez hasonló, gazdag lekérdezési nyelv, amellyel lekérdezheti és megértheti az adatokat.
Mi az a Microsoft Sentinel?
A Microsoft Sentinel egy natív felhőalapú SIEM-rendszer, amellyel a biztonsági műveleti csapat a következő műveleteket végezheti el:
- Biztonsági elemzéseket kaphatnak a vállalat egészéről, mivel gyakorlatilag bármilyen forrásból gyűjthetnek adatokat.
- A beépített gépi tanulás és a Microsoft intelligens veszélyforrás-felderítésének segítségével a fenyegetéseket gyorsan észlelhetik, és ki is vizsgálhatják.
- Automatizálhatják a fenyegetésekre adott válaszokat forgatókönyvek és az Azure Logic Apps integrációja segítségével.
A hagyományos SIEM-megoldásokkal ellentétben a Microsoft Sentinel futtatásához nem kell kiszolgálókat telepítenie sem a helyszínen, sem a felhőben. A Microsoft Sentinel az Azure-ban üzembe helyezhető szolgáltatás. Az Azure Portalon mindössze pár perc alatt végezhet a Sentinel üzembe helyezésével, és elkezdheti a futtatását.
A Microsoft Sentinel szorosan integrálva van más felhőszolgáltatásokkal. Nem csupán gyorsan betöltheti a naplókat, de natív módon használhat más felhőalapú szolgáltatásokat is (például az engedélyezést és az automatizálást).
A Microsoft Sentinel segít a végpontok közötti biztonsági műveletek engedélyezésében, beleértve a adatgyűjtést, az észlelést, a vizsgálatot és a választ:
Tekintsük meg a Microsoft Sentinel főbb összetevőit.