Что такое Microsoft Sentinel?
Microsoft Sentinel — это масштабируемая, облачная информация о безопасности и управление событиями (SIEM), которая предоставляет интеллектуальное и комплексное решение для siEM и оркестрации безопасности, автоматизации и реагирования (SOAR). Microsoft Sentinel обеспечивает обнаружение, расследование, реагирование и упреждающее охоту, с видом на птицу на вашем предприятии.
Microsoft Sentinel также изначально включает проверенные службы Azure, такие как Log Analytics и Logic Apps, и обогащает исследование и обнаружение с помощью искусственного интеллекта. Он использует как поток аналитики угроз Майкрософт, так и позволяет выполнять собственную аналитику угроз.
Используйте Microsoft Sentinel, чтобы облегчить стресс все более сложных атак, увеличение объема оповещений и длительные интервалы времени разрешения. В этой статье описаны основные возможности Microsoft Sentinel.
Внимание
Microsoft Sentinel доступен в составе единой платформы операций безопасности на портале Microsoft Defender. Microsoft Sentinel на портале Defender теперь поддерживается для использования в рабочей среде. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Microsoft Sentinel наследует методы проверки правописания и неизменяемости Azure Monitor. Хотя Azure Monitor является платформой данных только для добавления, она включает в себя положения для удаления данных в целях соответствия требованиям.
Эта служба поддерживает Azure Lighthouse, что позволяет поставщикам услуг входить в собственный арендатор для управления подписками и группами ресурсов, которые делегируют клиенты.
Включение содержимого безопасности из поля
Microsoft Sentinel предоставляет содержимое безопасности, упаковаемое в решения SIEM, которое позволяет получать данные, отслеживать, оповещать, охотиться, исследовать, отвечать и подключаться к различным продуктам, платформам и службам.
Дополнительные сведения см. в статье О содержимом и решениях Microsoft Sentinel.
Сбор данных в масштабе
Сбор данных для всех пользователей, устройств, приложений и инфраструктуры как в локальной среде, так и в нескольких облаках.
В следующей таблице выделены ключевые возможности в Microsoft Sentinel для сбора данных.
| Возможность | Description | Начать |
|---|---|---|
| Соединители данных из поля | Многие соединители упаковываются с помощью решений SIEM для Microsoft Sentinel и обеспечивают интеграцию в режиме реального времени. Эти соединители включают источники Майкрософт и источники Azure, такие как Идентификатор Microsoft Entra, Действие Azure, служба хранилища Azure и многое другое. Соединители из коробки также доступны для более широких экосистем безопасности и приложений для решений, отличных от Майкрософт. Кроме того, чтобы подключить источники данных к Microsoft Sentinel, вы можете использовать общий формат событий, Syslog или REST-API. |
Соединители данных Microsoft Sentinel |
| Настраиваемые соединители | Microsoft Sentinel поддерживает прием данных из некоторых источников без выделенного соединителя. Если вы не можете подключить источник данных к Microsoft Sentinel с помощью существующего решения, создайте собственный соединитель источника данных. | Ресурсы для создания пользовательских соединителей Microsoft Sentinel. |
| Нормализация данных | Microsoft Sentinel использует нормализацию времени запроса и приема для преобразования различных источников в единое, нормализованное представление. | Нормализация и расширенная информационная модель безопасности (ASIM) |
Обнаружение угроз
Выявляйте угрозы, которые ранее не удавалось обнаружить, и уменьшайте количество ложных срабатываний с помощью решений для анализа и не имеющих аналогов средств аналитики угроз от Майкрософт.
В следующей таблице перечислены ключевые возможности в Microsoft Sentinel для обнаружения угроз.
| Capacity | Description | Начать |
|---|---|---|
| Аналитика | Помогает снизить шум и свести к минимуму количество оповещений, которые необходимо проверить и исследовать. Microsoft Sentinel использует аналитику для группирования оповещений в инциденты. Используйте встроенные правила аналитики или в качестве отправной точки для создания собственных правил. Microsoft Sentinel также предоставляет правила для сопоставления поведения сети и поиска аномалий в ресурсах. Эта аналитика соединяет точки, путем объединения оповещений с низкой достоверностью о различных объектах в потенциальные инциденты безопасности с высокой достоверностью. | Встроенное обнаружение угроз |
| Покрытие MITRE ATT&CK | Microsoft Sentinel анализирует полученные данные не только для обнаружения угроз и изучения, но и для визуализации характера и охвата состояния безопасности вашей организации на основе тактики и методов платформы MITRE ATT&CK®. | Общие сведения о безопасности платформы MITRE ATT&CK® |
| Аналитика угроз | Интегрируйте многочисленные источники аналитики угроз в Microsoft Sentinel для обнаружения вредоносных действий в вашей среде и предоставления контекста следователям безопасности для обоснованных решений реагирования. | Аналитика угроз в Microsoft Sentinel |
| Списки отслеживания | Сопоставляйте данные из предоставленного источника данных, списка наблюдения с событиями в среде Microsoft Sentinel. Например, вы можете создать список видео к просмотру, содержащий ценные ресурсы, уволенных сотрудников или учетные записи служб в вашей среде. Используйте списки видео к просмотру при поиске, в правилах обнаружения, при охоте на угрозы и в сборниках схем ответов. | Списки наблюдения в Microsoft Sentinel |
| Workbooks | Создание интерактивных визуальных отчетов с помощью книг. Microsoft Sentinel поставляется со встроенными шаблонами книг, которые позволяют быстро получать аналитические сведения о данных сразу после подключения к источнику данных. Или создайте собственные пользовательские книги. | Визуализация собранных данных. |
Изучение угроз безопасности
Изучение угроз с помощью искусственного интеллекта и охота на подозрительные действия в масштабе, касаясь многих лет работы по кибербезопасности в Корпорации Майкрософт.
В следующей таблице перечислены ключевые возможности в Microsoft Sentinel для исследования угроз.
| Возможность | Description | Начать |
|---|---|---|
| Инциденты | Средства глубокого исследования Microsoft Sentinel помогут вам распознать область и найти первопричину потенциальной угрозы безопасности. Вы можете выбрать объект на интерактивной диаграмме, чтобы задать интересные вопросы касательно конкретного объекта, и детализировать этот объект и его связи, чтобы найти первопричину угрозы. | Навигация и исследование инцидентов в Microsoft Sentinel |
| Hunts | Мощные средства поиска и запросов Microsoft Sentinel на основе платформы MITRE позволяют заранее охотиться на угрозы безопасности в источниках данных вашей организации, прежде чем будет активировано оповещение. Создайте настраиваемые правила обнаружения на основе запроса поиска. Затем внесите эти сведения в качестве оповещений в отвечающие устройства. | Поиск угроз в Microsoft Sentinel |
| Записные книжки | Microsoft Sentinel поддерживает записные книжки Jupyter в рабочих областях Машинного обучения Azure, включая полные библиотеки для машинного обучения, визуализации и анализа данных. Записные книжки в Microsoft Sentinel расширяют возможности использования данных Microsoft Sentinel. Например: — выполните аналитику, которая не встроена в Microsoft Sentinel, например некоторые функции машинного обучения Python. — создание визуализаций данных, которые не встроены в Microsoft Sentinel, например пользовательские временная шкала и деревья процессов. — интегрируйте источники данных за пределами Microsoft Sentinel, например локальный набор данных. |
Записные книжки Jupyter с возможностями охоты Microsoft Sentinel |
Быстрое реагирование на инциденты.
Автоматизируйте свои общие задачи и упростите оркестрацию безопасности с помощью сборников схем, которые интегрируются со службами Azure, а также с вашими существующими средствами. Автоматизация и оркестрация Microsoft Sentinel обеспечивает высоко расширяемую архитектуру, которая обеспечивает масштабируемую автоматизацию по мере появления новых технологий и угроз.
Сборники схем в Microsoft Sentinel основаны на рабочих процессах, встроенных в Azure Logic Apps. Например, если вы пользуетесь системой отправки запросов ServiceNow, используйте Azure Logic Apps, чтобы автоматизировать ваши рабочие процессы и отправлять запросы в ServiceNow при формировании каждого оповещения или инцидента.
В следующей таблице перечислены ключевые возможности в Microsoft Sentinel для реагирования на угрозы.
| Возможность | Description | Начать |
|---|---|---|
| Правила автоматизации | Централизованное управление автоматизацией обработки инцидентов в Microsoft Sentinel путем определения и координации небольшого набора правил, охватывающих различные сценарии. | Автоматизация реагирования на угрозы в Microsoft Sentinel с помощью правил автоматизации |
| Сборники схем | Автоматизация и оркестрация ответа на угрозы с помощью сборников схем, которые являются коллекцией действий по исправлению. Запустите сборник схем по запросу или автоматически в ответ на определенные оповещения или инциденты при активации правила автоматизации. Чтобы создать сборники схем с помощью Azure Logic Apps, выберите из постоянно расширяющейся коллекции соединителей для различных служб и систем, таких как ServiceNow, Jira и многое другое. Эти соединители позволяют применять любую пользовательскую логику в рабочем процессе. |
Автоматизация реагирования на угрозы с помощью сборников схем в Microsoft Sentinel Список всех соединитель приложений логики |
Связанный контент
Кері байланыс
Жақында қолжетімді болады: 2024 жыл бойы біз GitHub Issues жүйесін мазмұнға арналған кері байланыс механизмі ретінде біртіндеп қолданыстан шығарамыз және оны жаңа кері байланыс жүйесімен ауыстырамыз. Қосымша ақпаратты мұнда қараңыз: https://aka.ms/ContentUserFeedback.
Жіберу және пікірді көру