Che cos'è Microsoft Azure Sentinel?
Microsoft Sentinel è una soluzione di gestione degli eventi e delle informazioni sulla sicurezza nativa del cloud scalabile che offre una soluzione intelligente e completa per l'orchestrazione siem e la sicurezza, l'automazione e la risposta (SOAR). Microsoft Sentinel offre il rilevamento, l'indagine, la risposta e la ricerca proattiva, con una visione d'occhio degli uccelli nell'intera azienda.
Microsoft Sentinel incorpora anche servizi di Azure collaudati, come Log Analytics e App per la logica, e arricchisce l'indagine e il rilevamento con l'intelligenza artificiale. Usa sia il flusso di intelligence per le minacce di Microsoft che consente di usare la propria intelligence sulle minacce.
Usare Microsoft Sentinel per alleviare lo stress degli attacchi sempre più sofisticati, aumentare i volumi di avvisi e tempi di risoluzione lunghi. Questo articolo illustra le funzionalità principali di Microsoft Sentinel.
Importante
Microsoft Sentinel è disponibile come parte della piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Microsoft Sentinel nel portale di Defender è ora supportato per l'uso in produzione. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Microsoft Sentinel eredita le procedure di manomissione e immutabilità di Monitoraggio di Azure. Anche se Monitoraggio di Azure è una piattaforma dati di sola accodamento, include il provisioning per eliminare i dati a scopo di conformità
Questo servizio supporta Azure Lighthouse, che consente ai provider di servizi di accedere al proprio tenant per gestire le sottoscrizioni e i gruppi di risorse che i clienti hanno delegato.
Abilitare il contenuto di sicurezza abilitata per impostazione predefinita
Microsoft Sentinel offre contenuto di sicurezza incluso in soluzioni SIEM che consentono di inserire dati, monitorare, inviare avvisi, cercare, analizzare, rispondere e connettersi a prodotti, piattaforme e servizi diversi.
Per altre informazioni, vedere Informazioni sul contenuto e sulle soluzioni di Microsoft Sentinel.
Raccogliere dati su larga scala
Raccogliere dati in tutti gli utenti, i dispositivi, le applicazioni e l'infrastruttura, sia in locale che in più cloud.
Nella tabella seguente sono evidenziate le funzionalità principali di Microsoft Sentinel per la raccolta dei dati.
| Funzionalità | Descrizione | Operazioni preliminari |
|---|---|---|
| Connettori dati predefiniti | Molti connettori sono in pacchetto con soluzioni SIEM per Microsoft Sentinel e offrono l'integrazione in tempo reale. Questi connettori includono origini Microsoft e origini di Azure come Microsoft Entra ID, Attività di Azure, Archiviazione di Azure e altro ancora. I connettori predefiniti sono disponibili anche per gli ecosistemi di sicurezza e applicazioni più ampi per soluzioni non Microsoft. È anche possibile usare il formato di evento comune, Syslog o l'API REST per connettere le origini dati con Microsoft Sentinel. |
Connettori dati di Microsoft Sentinel |
| Connettori personalizzati | Microsoft Sentinel supporta l'inserimento di dati da alcune origini senza un connettore dedicato. Se non è possibile connettere l'origine dati a Microsoft Sentinel usando una soluzione esistente, creare un connettore di origine dati personalizzato. | Risorse per la creazione di connettori personalizzati di Microsoft Sentinel. |
| Normalizzazione dei dati | Microsoft Sentinel usa la normalizzazione del tempo di query e del tempo di inserimento per convertire varie origini in una visualizzazione uniforme e normalizzata. | Normalizzazione e advanced security information model (ASIM) |
Rilevare le minacce
Rilevamento di minacce precedentemente non individuate e riduzione al minimo dei falsi positivi grazie alle funzionalità di analisi e alla straordinaria intelligence sulle minacce di Microsoft.
Nella tabella seguente sono evidenziate le funzionalità principali di Microsoft Sentinel per il rilevamento delle minacce.
| Capacità | Descrizione | Operazioni preliminari |
|---|---|---|
| Analisi | Consente di ridurre il rumore e ridurre al minimo il numero di avvisi da esaminare e analizzare. Microsoft Sentinel usa l'analisi per raggruppare gli avvisi in eventi imprevisti. Usare le regole analitiche predefinite così come sono o come punto di partenza per creare regole personalizzate. Microsoft Sentinel fornisce anche regole per eseguire il mapping del comportamento di rete e quindi cercare anomalie tra le risorse. Queste funzionalità di analisi mettono assieme tutte le tessere del puzzle, combinando gli avvisi con un basso livello di affidabilità relativi a entità diverse in potenziali eventi imprevisti della sicurezza di affidabilità elevata. | Rilevare le minacce in modo automatico |
| Copertura MITRE ATT&CK | Microsoft Sentinel analizza i dati inseriti, non solo per rilevare le minacce e facilitare l'analisi, ma anche per visualizzare la natura e la copertura dello stato di sicurezza dell'organizzazione in base alle tattiche e alle tecniche del framework MITRE ATT&CK®. | Comprendere la copertura della sicurezza in base al framework MITRE ATT&CK® |
| Intelligence per le minacce | Integrare numerose origini di intelligence sulle minacce in Microsoft Sentinel per rilevare attività dannose nell'ambiente e fornire contesto agli investigatori della sicurezza per decisioni di risposta informate. | Intelligence sulle minacce in Microsoft Sentinel |
| Watchlist | Correlare i dati da un'origine dati fornita, un watchlist, con gli eventi nell'ambiente Microsoft Sentinel. Ad esempio, è possibile creare un watchlist con un elenco di asset di valore elevato, dipendenti terminati o account di servizio nell'ambiente. Usare watchlist nei playbook di ricerca, regole di rilevamento, ricerca delle minacce e playbook di risposta. | Elenchi di controllo in Microsoft Sentinel |
| Cartelle di lavoro | Creare report visivi interattivi usando cartelle di lavoro. Microsoft Sentinel include modelli di cartella di lavoro predefiniti che consentono di ottenere rapidamente informazioni dettagliate sui dati non appena si connette un'origine dati. In alternativa, creare cartelle di lavoro personalizzate. | Visualizzare i dati raccolti. |
Analizzare le minacce
Analisi delle minacce tramite intelligenza artificiale e rilevamento delle attività sospette su larga scala, sfruttando i vantaggi di anni di esperienza di Microsoft a livello di cybersecurity.
Nella tabella seguente sono evidenziate le funzionalità principali di Microsoft Sentinel per l'analisi delle minacce.
| Funzionalità | Descrizione | Operazioni preliminari |
|---|---|---|
| Incidenti | Gli strumenti di indagine approfondita di Microsoft Sentinel aiutano a comprendere l'ambito e individuare la causa radice di una potenziale minaccia per la sicurezza. È possibile scegliere un'entità nel grafico interattivo per porre domande interessanti per una specifica entità, oltre che eseguire il drill-down nell'entità e nelle relative connessioni per risalire alla causa radice della minaccia. | Esplorare e analizzare gli eventi imprevisti in Microsoft Sentinel |
| Caccia | I potenti strumenti di ricerca e query di Microsoft Sentinel, basati sul framework MITRE, consentono di cercare in modo proattivo le minacce alla sicurezza nelle origini dati dell'organizzazione, prima che venga attivato un avviso. Creare regole di rilevamento personalizzate in base alla query di ricerca. Mostrare quindi queste informazioni dettagliate come avvisi ai risponditori degli eventi imprevisti di sicurezza. | Ricerca delle minacce in Microsoft Sentinel |
| Notebook | Microsoft Sentinel supporta i notebook Jupyter nelle aree di lavoro Azure Machine Learning, incluse librerie complete per Machine Learning, visualizzazione e analisi dei dati. Usare i notebook in Microsoft Sentinel per estendere l'ambito di ciò che è possibile fare con i dati di Microsoft Sentinel. Ad esempio: - Eseguire analisi che non sono integrate in Microsoft Sentinel, ad esempio alcune funzionalità di Machine Learning per Python. - Creare visualizzazioni dei dati non incorporate in Microsoft Sentinel, ad esempio sequenze temporali personalizzate e alberi di elaborazione. - Integrare origini dati all'esterno di Microsoft Sentinel, ad esempio un set di dati locale. |
Notebook di Jupyter con funzionalità di ricerca di Microsoft Sentinel |
Rispondere velocemente agli eventi imprevisti
È possibile automatizzare le attività comuni e semplificare l'orchestrazione della sicurezza con playbook che si integrano con i servizi di Azure e con gli strumenti esistenti. L'automazione e l'orchestrazione di Microsoft Sentinel offrono un'architettura altamente estendibile che consente l'automazione scalabile man mano che emergono nuove tecnologie e minacce.
I playbook in Microsoft Sentinel si basano sui flussi di lavoro integrati in App per la logica di Azure. Se ad esempio si usa il sistema di creazione di ticket ServiceNow, è possibile usare App per la logica di Azure per automatizzare i flussi di lavoro e aprire un ticket in ServiceNow ogni volta che viene rilevato un avviso o un evento imprevisto specifico.
Nella tabella seguente sono evidenziate le funzionalità principali di Microsoft Sentinel per la risposta alle minacce.
| Funzionalità | Descrizione | Operazioni preliminari |
|---|---|---|
| Regole di automazione | Gestire centralmente l'automazione della gestione degli eventi imprevisti in Microsoft Sentinel definendo e coordinando un piccolo set di regole che coprono diversi scenari. | Automatizzare la risposta alle minacce in Microsoft Sentinel con regole di automazione |
| Playbook | Automatizzare e orchestrare la risposta alle minacce usando playbook, ovvero una raccolta di azioni correttive. Eseguire un playbook su richiesta o automaticamente in risposta a avvisi o eventi imprevisti specifici, quando viene attivato da una regola di automazione. Per creare playbook con App per la logica di Azure, scegliere tra una raccolta di connettori in continua espansione per vari servizi e sistemi, ad esempio ServiceNow, Jira e altro ancora. Questi connettori consentono di applicare qualsiasi logica personalizzata nel flusso di lavoro. |
Automatizzare la risposta alle minacce con playbook in Microsoft Sentinel Elenco di tutti i Connettore app logici |
Contenuto correlato
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per