Che cos'è Microsoft Azure Sentinel?
Microsoft Sentinel è un sistema SIEM nativo del cloud e scalabile che offre una soluzione intelligente e completa per l'orchestrazione SIEM e la sicurezza, l'automazione e la risposta (SOAR). Microsoft Sentinel offre il rilevamento delle minacce informatiche, l'indagine, la risposta e la ricerca proattiva, con una visione panoramica dell'intera azienda.
Microsoft Sentinel incorpora anche servizi di Azure collaudati, come Log Analytics e App per la logica, e arricchisce l'indagine e il rilevamento con l'intelligenza artificiale. Usa il flusso di intelligence sulle minacce di Microsoft ma consente anche di usare la propria intelligence sulle minacce.
È possibile usare Microsoft Sentinel per alleviare il carico associato ad attacchi sempre più sofisticati, volume crescente degli avvisi e lunghi tempi di risoluzione. Questo articolo illustra le funzionalità principali di Microsoft Sentinel.
Importante
Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender nella della piattaforma operativa di sicurezza unificata Microsoft. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Microsoft Sentinel eredita le procedure di antimanomissione e immutabilità di Monitoraggio di Azure. Anche se Monitoraggio di Azure è una piattaforma dati di sola accodamento, include il provisioning per eliminare i dati a scopo di conformità.
Questo servizio supporta Azure Lighthouse, che consente ai provider di servizi di accedere al proprio tenant per gestire le sottoscrizioni e i gruppi di risorse che i clienti hanno delegato.
Abilitare il contenuto di sicurezza abilitata per impostazione predefinita
Microsoft Sentinel offre contenuti di sicurezza inclusi in soluzioni SIEM che consentono di inserire dati, monitorare, inviare avvisi, effettuare ricerche, indagini, rispondere e connettersi a prodotti, piattaforme e servizi diversi.
Per altre informazioni, vedere Informazioni sul contenuto e sulle soluzioni di Microsoft Sentinel.
Raccogliere dati su larga scala
Raccoglie i dati per tutti gli utenti, i dispositivi, le applicazioni e l'infrastruttura, sia in locale che in più cloud.
Nella tabella seguente sono evidenziate le funzionalità principali di Microsoft Sentinel per la raccolta dei dati.
Funzionalità | Descrizione | Operazioni preliminari |
---|---|---|
Connettori dati predefiniti | Molti connettori sono in pacchetto con soluzioni SIEM per Microsoft Sentinel e offrono l'integrazione in tempo reale. Questi connettori includono origini di Microsoft e di Azure come Microsoft Entra ID, Attività di Azure, Archiviazione di Azure e altro ancora. I connettori predefiniti sono disponibili anche per gli ecosistemi di sicurezza e applicazioni più ampi per soluzioni non Microsoft. Per connettere le origini dati con Microsoft Sentinel, è possibile usare Common Event Format, Syslog o API REST. |
Connettori dati di Microsoft Sentinel |
Connettori personalizzati | Microsoft Sentinel supporta l'inserimento di dati da alcune origini senza un connettore dedicato. Se non è possibile connettere l'origine dati a Microsoft Sentinel usando una soluzione esistente, creare un connettore di origine dati personalizzato. | Risorse per la creazione di connettori personalizzati di Microsoft Sentinel. |
Normalizzazione dei dati | Microsoft Sentinel usa la normalizzazione del tempo di query e del tempo di inserimento per convertire varie origini in una visualizzazione uniforme e normalizzata. | Normalizzazione e Advanced Security Information Model (ASIM) |
Rilevare le minacce
Rilevamento di minacce precedentemente non individuate e riduzione al minimo dei falsi positivi grazie alle funzionalità di analisi e alla straordinaria intelligence sulle minacce di Microsoft.
Nella tabella seguente sono evidenziate le funzionalità principali di Microsoft Sentinel per il rilevamento delle minacce.
Capacità | Descrizione | Operazioni preliminari |
---|---|---|
Analisi | Consente di ridurre il rumore e minimizzare il numero di avvisi da esaminare e analizzare. Microsoft Sentinel usa l'analisi per raggruppare gli avvisi in eventi imprevisti. È possibile usare le regole analitiche predefinite così come sono o come punto di partenza per creare regole personalizzate. Microsoft Sentinel fornisce anche regole per mappare il comportamento di rete e quindi cercare le anomalie in tutte le risorse. Queste funzionalità di analisi mettono assieme tutte le tessere del puzzle, combinando gli avvisi con un basso livello di affidabilità relativi a entità diverse in potenziali eventi imprevisti della sicurezza di affidabilità elevata. | Rilevare le minacce in modo automatico |
Copertura MITRE ATT&CK | Microsoft Sentinel analizza i dati inseriti, non solo per rilevare le minacce e facilitare l'analisi, ma anche per visualizzare la natura e la copertura dello stato di sicurezza dell'organizzazione in base alle tattiche e alle tecniche del framework MITRE ATT&CK®. | Comprendere la copertura di sicurezza da parte del framework MITRE ATT&CK® |
Intelligence per le minacce | Integrare numerose origini di intelligence sulle minacce in Microsoft Sentinel per rilevare attività dannose nell'ambiente e fornire contesto agli investigatori per la sicurezza per prendere decisioni di risposta informate. | Intelligence sulle minacce in Microsoft Sentinel |
Watchlist | Correlare i dati da un'origine dati fornita, una watchlist, con gli eventi nell'ambiente Microsoft Sentinel. Ad esempio, è possibile creare una watchlist con un elenco di risorse di valore elevato, dipendenti non più in servizio o account di servizio nell'ambiente. Usare le watchlist nei playbook di ricerca, delle regole di rilevamento, di ricerca delle minacce e in quelli di risposta. | Watchlist in Microsoft Sentinel |
Cartelle di lavoro | Creare relazioni grafiche interattive con cartelle di lavoro. Microsoft Sentinel include modelli di cartella di lavoro integrati che consentono di ottenere rapidamente informazioni dettagliate sui dati non appena ci si connette un'origine dati. In alternativa, creare cartelle di lavoro personalizzate. | Visualizzare i dati raccolti. |
Analizzare le minacce
Analisi delle minacce tramite intelligenza artificiale e rilevamento delle attività sospette su larga scala, sfruttando i vantaggi di anni di esperienza di Microsoft a livello di cybersecurity.
Nella tabella seguente sono evidenziate le funzionalità principali di Microsoft Sentinel per l’indagine delle minacce.
Funzionalità | Descrizione | Operazioni preliminari |
---|---|---|
Incidenti | Gli strumenti di indagine approfondita di Microsoft Sentinel aiutano a comprendere l'ambito e individuare la causa radice di una potenziale minaccia per la sicurezza. È possibile scegliere un'entità nel grafico interattivo per porre domande interessanti per una specifica entità, oltre che eseguire il drill-down nell'entità e nelle relative connessioni per risalire alla causa radice della minaccia. | Esplorare e analizzare gli eventi imprevisti in Microsoft Sentinel |
Rilevamenti | I potenti strumenti di ricerca e query di Microsoft Sentinel, basati sul framework MITRE, consentono di cercare in modo proattivo le minacce alla sicurezza tra le origini dati dell'organizzazione prima che venga attivato un avviso. Creare regole di rilevamento personalizzate in base alla query di ricerca. Mostrare quindi queste informazioni dettagliate come avvisi ai risponditori degli eventi imprevisti di sicurezza. | Ricerca delle minacce in Microsoft Sentinel |
Notebook | Microsoft Sentinel supporta i notebook Jupyter nelle aree di lavoro Azure Machine Learning, incluse librerie complete per Machine Learning, visualizzazione e analisi dei dati. Usare i notebook in Microsoft Sentinel per estendere l'ambito di ciò che è possibile fare con i dati di Microsoft Sentinel. Ad esempio: - Eseguire analisi che non sono integrate in Microsoft Sentinel, ad esempio alcune funzionalità di apprendimento automatico per Python. - Creare visualizzazioni dei dati non incorporate in Microsoft Sentinel, ad esempio sequenze temporali personalizzate e alberi di elaborazione. - Integrare le origini dati all'esterno di Microsoft Sentinel, ad esempio un set di dati locale. |
Notebook di Jupyter con funzionalità di ricerca di Microsoft Sentinel |
Rispondere velocemente agli eventi imprevisti
È possibile automatizzare le attività comuni e semplificare l'orchestrazione della sicurezza con playbook che si integrano con i servizi di Azure e con gli strumenti esistenti. L’automazione e l’orchestrazione di Microsoft Sentinel fornisce un'architettura altamente estendibile, che rende possibile ridimensionare l'automazione man mano che emergono nuove tecnologie e minacce.
I playbook in Microsoft Sentinel sono basati su flussi di lavoro costruiti su App per la logica di Azure. Se ad esempio si usa il sistema di creazione di ticket ServiceNow, è possibile usare App per la logica di Azure per automatizzare i flussi di lavoro e aprire un ticket in ServiceNow ogni volta che viene rilevato un avviso o un evento imprevisto specifico.
Nella tabella seguente sono evidenziate le funzionalità principali di Microsoft Sentinel per la risposta alle minacce.
Funzionalità | Descrizione | Operazioni preliminari |
---|---|---|
Regole di automazione | Gestire centralmente l'automazione della gestione degli eventi imprevisti in Microsoft Sentinel definendo e coordinando un piccolo set di regole che coprono diversi scenari. | Automatizzare la risposta alle minacce in Microsoft Sentinel con regole di automazione |
Playbook | Automatizzare e orchestrare la risposta alle minacce usando playbook, ovvero una raccolta di azioni correttive. Eseguire un playbook su richiesta o automaticamente in risposta ad avvisi o eventi imprevisti specifici, quando viene attivato da una regola di automazione. Per creare playbook con App per la logica di Azure, scegliere tra una raccolta di connettori in continua espansione per vari servizi e sistemi, ad esempio ServiceNow, Jira e altro ancora. Questi connettori consentono di applicare qualsiasi logica personalizzata al flusso di lavoro. |
Automatizzare la risposta alle minacce con playbook in Microsoft Sentinel Elenco di tutti i connettori per le App per la logica |