Quando usare Microsoft Sentinel

  • 4 minuti

Microsoft Sentinel è una soluzione per eseguire operazioni di sicurezza negli ambienti cloud e locali.

Usare Microsoft Sentinel se si vuole:

  • Raccogliere i dati degli eventi da origini diverse.
  • Eseguire operazioni di sicurezza sui dati per identificare attività sospette.

Le operazioni relative alla sicurezza possono includere:

  • Visualizzazione dei dati di log
  • Rilevamento anomalie
  • Ricerca di minacce
  • Analisi degli eventi imprevisti della sicurezza
  • Risposta automatizzata agli avvisi e agli eventi imprevisti

Microsoft Sentinel offre altre funzionalità che possono essere utili per decidere se si tratta o meno di una soluzione adatta alle proprie esigenze:

  • SIEM nativo del cloud: senza server di cui effettuare il provisioning, il ridimensionamento è semplice
  • Integrazione con il servizio App per la logica di Azure e le centinaia di relativi connettori
  • Vantaggi delle funzionalità di Machine Learning e di ricerca Microsoft
  • Le principali origini di log sono disponibili gratuitamente
  • Supporto per gli ambienti cloud ibridi e locali
  • Soluzione SIEM e data lake tutto in uno

Quando si è iniziato a valutare Microsoft Sentinel, l'organizzazione aveva alcuni requisiti chiari:

  • Supporto per i dati da più ambienti cloud
  • Caratteristiche e funzionalità richieste da un centro operazioni per la sicurezza, senza eccessivo sovraccarico amministrativo

Microsoft Sentinel si è rivelato una scelta ottimale. Azure Sentinel offre connettori dati per Syslog, Amazon Web Services (AWS) e altre origini e consente di eseguire il ridimensionamento in modo semplice senza eseguire il provisioning dei server. Durante l'analisi, si è osservato anche che l'organizzazione deve rendere l'automazione una parte essenziale della strategia del centro operazioni per la sicurezza. L'automazione non era stata considerata dall'organizzazione in precedenza, ma viene ora esaminato l'uso di playbook di automazione.

Se si raccolgono log dell'infrastruttura o delle applicazioni per il monitoraggio delle prestazioni, può essere utile usare anche Monitoraggio di Azure e Log Analytics per lo stesso scopo.

E forse si vuole comprendere il comportamento di sicurezza dell'ambiente in uso, assicurarsi di essere conformi ai criteri e verificare la presenza di configurazioni non corrette per la sicurezza. In tal caso, valutare anche l'uso di Microsoft Defender for Cloud. È possibile inserire avvisi di Defender for Cloud come connettore dati per Microsoft Sentinel.