Condividi tramite

Che cos'è Microsoft Azure Sentinel?

Microsoft Sentinel è una piattaforma di sicurezza e gestione degli eventi (SIEM) nativa del cloud e una piattaforma di sicurezza unificata per la difesa agente. Per soddisfare le esigenze delle minacce complesse di oggi, Microsoft Sentinel si è evoluto da una soluzione SIEM tradizionale a una piattaforma e siem, estendendosi oltre i controlli statici, basati su regole e la risposta post-violazione per fornire una base ai dati pronta per l'intelligenza artificiale che trasforma i dati di telemetria in un grafico di sicurezza, standardizza l'accesso per gli agenti e coordina azioni autonome, mantenendo al tempo stesso gli esseri umani al comando di indagini di strategia e ad alto impatto.

Come siem, Microsoft Sentinel offre sicurezza basata sull'intelligenza artificiale in ambienti multicloud e multipiattaforma, offrendo funzionalità affidabili per il rilevamento delle minacce, l'indagine, la ricerca, la risposta e l'interruzione automatica degli attacchi. Come piattaforma, Microsoft Sentinel fornisce una base solida costruita su un moderno data lake per approfondimenti dettagliati, capacità grafiche per l'analisi contestuale, un server MCP (Model Context Protocol) ospitato per strumenti pronti all'uso da parte di agenti e funzionalità per sviluppatori per la creazione e distribuzione di soluzioni tramite il Security Store di Microsoft.

Questo articolo offre una panoramica di Microsoft Sentinel e dei relativi componenti principali. Spiega in che modo Microsoft Sentinel aiuta i team delle operazioni di sicurezza a rilevare e rispondere alle minacce e adattarsi continuamente unificando i dati, automatizzando le risposte e derivando informazioni dettagliate basate sull'intelligenza artificiale.

Piattaforma di sicurezza e SIEM end-to-end, incentrata sull'AI.

Questo diagramma illustra la piattaforma di sicurezza e SIEM end-to-end AI-first di Microsoft Sentinel, evidenziando i suoi componenti principali e la relativa integrazione con Microsoft Security Copilot.

Un diagramma che rappresenta la piattaforma SIEM e di sicurezza end-to-end di Microsoft Sentinel, AI-first.

Microsoft Sentinel SIEM

La soluzione SIEM di Microsoft Sentinel nativa del cloud offre sicurezza basata sull'intelligenza artificiale in ambienti multicloud e multipiattaforma. Offre funzionalità complete per il rilevamento delle minacce, l'indagine, la risposta e la ricerca proattiva, offrendo ai team di sicurezza una visione unificata dell'azienda.

Microsoft Sentinel SIEM è disponibile nel portale di Microsoft Defender, per i clienti con o senza Defender XDR o una licenza E5, che offre un'esperienza unificata per le operazioni di sicurezza. Questa integrazione semplifica i flussi di lavoro, migliora la visibilità e aiuta gli analisti a rispondere più velocemente e più precisamente alle minacce sempre più complesse.

L'integrazione di Siem di Microsoft Sentinel con il portale di Defender e Security Copilot crea un potente ecosistema che migliora le operazioni di sicurezza. Security Copilot consente agli analisti di interagire con i dati di Microsoft Sentinel usando il linguaggio naturale, generare query di ricerca e automatizzare le indagini, rendendo più veloce e accessibile la risposta alle minacce.

Per altre informazioni, vedere Informazioni su SIEM di Microsoft Sentinel.

Connettori dati

Raccogliere dati nell'intero patrimonio digitale ovunque si trovino i dati, inclusi tutti gli utenti, i dispositivi, le applicazioni e l'infrastruttura, sia in locale che in più cloud:

  • 350 connettori dati predefiniti con supporto per soluzioni di sicurezza di prima e di terze parti e piattaforme cloud

  • Un'esperienza di gestione delle tabelle integrata che semplifica la selezione della risorsa di archiviazione dati e supporta il posizionamento tra il livello di analisi e il livello data lake.

  • I dati inseriti nel livello di analisi sono automaticamente duplicati nel livello di data lake, garantendo che il livello di data lake rimanga il repository unificato centrale per tutti i dati di sicurezza.

  • Opzioni di nessun codice e connettore personalizzato

  • Normalizzazione dei dati per convertire varie origini in una vista uniforme e normalizzata

Per altre informazioni, vedere Connettori dati di Microsoft Sentinel.

Componenti di base della piattaforma Microsoft Sentinel

Data lake di Microsoft Sentinel

Il data lake di Microsoft Sentinel è un data lake completamente gestito e nativo del cloud progettato per le operazioni di sicurezza. Unifica, conserva e analizza i dati di sicurezza su larga scala, fornendo le basi per l'analisi avanzata, le informazioni dettagliate guidate dall'intelligenza artificiale e la difesa agente.

Progettato per garantire flessibilità e profondità, il data lake supporta analisi multimodali, tra cui query Kusto, analisi delle relazioni basate su grafici, Microsoft Modeling Language (MML), agenti Security Copilot e notebook basati sull'IA in Visual Studio Code, il tutto in un'unica copia di dati in formato aperto.

Con l'archiviazione conveniente e la conservazione a lungo termine, i team di sicurezza possono analizzare le minacce persistenti, arricchire gli avvisi con contesto cronologico e creare baseline comportamentali usando mesi di dati, senza il sovraccarico dell'infrastruttura tradizionale.

Le funzionalità chiave del data lake di Microsoft Sentinel includono:

  • Centralizza i log da Microsoft 365, Defender, Azure, Microsoft Entra, Microsoft Purview, Microsoft Intune e oltre 350 connettori dati, tra cui Amazon Web Services (AWS) e Google Cloud Platform (GCP) per eliminare i silo di dati.

  • Ottimizza i costi separando l'inserimento dei dati dall'analisi, in modo da poter archiviare volumi elevati di dati di sicurezza e applicare i motori analitici più efficaci per attività come la ricerca di minacce, il rilevamento delle anomalie e indagini approfondite forensi.

  • Abilita l'analisi multi modale in una singola copia di dati in formato aperto usando query Kusto, processi pianificati e notebook basati su intelligenza artificiale in Visual Studio Code, senza alcuna configurazione dell'infrastruttura necessaria.

Per altre informazioni, vedere Informazioni sul data lake di Microsoft Sentinel.

Grafico di Microsoft Sentinel

Il grafo di Microsoft Sentinel offre una capabilità di analisi grafica unificata tramite la modellazione e l'analisi di relazioni complesse tra asset, identità, attività e dati di intelligence sulle minacce. Consente agli agenti di Microsoft Defender e intelligenza artificiale di ragionare sui dati interconnessi, offrendo informazioni più approfondite e una risposta più rapida alle minacce informatiche.

Le funzionalità principali di Microsoft Sentinel graph includono:

  • Analisi unificata basata su grafo che alimenta le esperienze predefinite per la sicurezza, la conformità, l'identità e l'ecosistema di sicurezza Microsoft.
  • Modellazione di relazioni reali che usa nodi e archi per rappresentare utenti, dispositivi, risorse cloud, flussi di dati e azioni degli utenti malintenzionati.
  • Ragionamento avanzato delle minacce per aiutare Defender a rispondere a domande complesse, ad esempio i percorsi vulnerabili che un utente malintenzionato potrebbe prendere da un'entità compromessa a un asset critico.
  • Difesa end-to-end con supporto per scenari di pre-violazione e post-violazione, usando grafici interconnessi in Microsoft Defender e Microsoft Purview.

Per altre informazioni, vedere Informazioni sul grafo di Microsoft Sentinel.

Server MCP (Model Context Protocol) di Microsoft Sentinel

Il server MCP di Microsoft Sentinel offre un'interfaccia unificata ospitata che consente ai team di sicurezza di interagire con i dati di sicurezza usando il linguaggio naturale e di creare agenti di sicurezza intelligenti, senza configurazione dell'infrastruttura o connettori personalizzati. Questa integrazione semplifica l'esplorazione e l'automazione dei dati, rendendo le operazioni di sicurezza basate sull'intelligenza artificiale più accessibili ed efficaci.

Le funzionalità chiave del server MCP di Microsoft Sentinel includono:

  • Interfaccia ospitata che usa Microsoft Entra per identità e supporta client compatibili per operazioni di intelligenza artificiale senza problemi.
  • Strumenti di sicurezza del linguaggio naturale, inclusi gli strumenti incentrati sullo scenario per eseguire query e ragionamenti sul data lake di Microsoft Sentinel senza conoscere lo schema o scrivere codice.
  • Creazione accelerata dell'agente in cui i tecnici possono creare agenti di sicurezza personalizzati usando il linguaggio naturale, riducendo il lavoro manuale e velocizzando l'automazione.
  • L'integrazione nativa con il data lake di Microsoft Sentinel consente una progettazione avanzata del contesto senza compromettere la copertura dei dati o i costi.

Per altre informazioni, vedere Che cos'è il supporto di Microsoft Sentinel per Il protocollo MCP (Model Context Protocol)?.

Esperienza per sviluppatori di Microsoft Sentinel

Microsoft Sentinel offre numerose funzionalità per i partner per creare soluzioni di impatto che possono pubblicare tramite Microsoft Security Store o l'hub dei contenuti SIEM di Microsoft Sentinel. Grazie a Microsoft Sentinel è possibile supportare nuovi scenari usando un'ampia gamma di dati di sicurezza, funzionalità di elaborazione ed esperienze di intelligenza artificiale, senza la necessità di nuove pipeline, motori di calcolo o infrastruttura di archiviazione.

Ad esempio, i partner possono creare, creare pacchetti e pubblicare:

  • Contenuti SIEM di Microsoft Sentinel, ad esempio connettori, regole analitiche, query di ricerca e playbook.
  • Contenuto della piattaforma Microsoft Sentinel, ad esempio connettori, processi di notebook Jupyter per l'analisi dei dati e agenti che correlano tali dati con il contenuto del data lake esistente. L'agente può quindi interagire con altri endpoint e applicazioni esterne per offrire ai clienti un'esperienza unificata potente.

Per altre informazioni, vedere Creare e pubblicare soluzioni di Microsoft Sentinel.

Get started

Per iniziare a usare la piattaforma e siem di Microsoft Sentinel, vedere:

  • Last updated on