Co to jest usługa Microsoft Sentinel?

Microsoft Sentinel jest natywną dla chmury usługą Security Information and Event Management (SIEM) i ujednoliconą platformą zabezpieczeń do obrony agenta. Aby sprostać wymaganiom współczesnych złożonych zagrożeń, Microsoft Sentinel ewoluowała od tradycyjnego rozwiązania SIEM do rozwiązania SIEM i platformy — wykraczając poza statyczne, oparte na regułach mechanizmy kontroli i reagowanie po naruszeniu zabezpieczeń w celu zapewnienia gotowej do użycia sztucznej inteligencji podstawy opartej na danych, która przekształca dane telemetryczne w graf zabezpieczeń, standaryzuje dostęp agentów i koordynuje autonomiczne działania, jednocześnie utrzymując ludzi w dowodzeniu badaniami strategicznymi i badaniami o dużym wpływie.

W ramach rozwiązania SIEM Microsoft Sentinel zapewnia zabezpieczenia oparte na sztucznej inteligencji w środowiskach wielochmurowych i wieloplatformowych, oferując niezawodne możliwości wykrywania zagrożeń, badania, wyszukiwania zagrożeń, reagowania i automatycznego zakłócania ataków. Jako platforma Microsoft Sentinel stanowi podstawę opartą na nowoczesnym środowisku data lake na potrzeby szczegółowych informacji, możliwości grafów na potrzeby analizy kontekstowej, hostowanego serwera protokołu MCP (Model Context Protocol) na potrzeby narzędzi gotowych do użycia agentów oraz możliwości deweloperów do tworzenia i wdrażania rozwiązań za pośrednictwem magazynu zabezpieczeń.

Ten artykuł zawiera omówienie Microsoft Sentinel i jej podstawowych składników. Wyjaśniono w nim, w jaki sposób Microsoft Sentinel ułatwia zespołom ds. operacji zabezpieczeń wykrywanie zagrożeń i reagowanie na nie oraz ciągłe dostosowywanie się przez ujednolicanie danych, automatyzowanie odpowiedzi i uzyskiwanie szczegółowych informacji opartych na sztucznej inteligencji.

Sztuczna inteligencja, kompleksowa platforma SIEM i platforma zabezpieczeń

Na tym diagramie przedstawiono Microsoft Sentinel kompleksową platformę SIEM i zabezpieczeń sztucznej inteligencji, wyróżniając jej podstawowe składniki i integrację z usługą Microsoft Security Copilot.

Diagram przedstawiający Microsoft Sentinel kompleksową platformę SIEM i zabezpieczeń sztucznej inteligencji.

Microsoft Sentinel SIEM

Natywne dla chmury rozwiązanie Microsoft Sentinel SIEM zapewnia zabezpieczenia oparte na sztucznej inteligencji w środowiskach wielochmurowych i wieloplatformowych. Zapewnia kompleksowe możliwości wykrywania zagrożeń, badania, reagowania i proaktywnego wyszukiwania zagrożeń, zapewniając zespołom ds. zabezpieczeń ujednolicony widok przedsiębiorstwa.

Microsoft Sentinel rozwiązanie SIEM jest dostępne w portalu Microsoft Defender — dla klientów z Defender XDR lub bez licencji E5 — oferujących ujednolicone środowisko operacji zabezpieczeń. Ta integracja usprawnia przepływy pracy, poprawia widoczność i pomaga analitykom szybciej i dokładniej reagować na coraz bardziej złożone zagrożenia.

Integracja rozwiązania Microsoft Sentinel SIEM z portalem usługi Defender i Security Copilot tworzy zaawansowany ekosystem, który usprawnia operacje zabezpieczeń. Security Copilot umożliwia analitykom interakcję z danymi Microsoft Sentinel przy użyciu języka naturalnego, generowanie zapytań wyszukiwania zagrożeń i automatyzowanie badań, dzięki czemu reagowanie na zagrożenia jest szybsze i bardziej dostępne.

Aby uzyskać więcej informacji, zobacz Co to jest Microsoft Sentinel SIEM?

Łączniki danych

Zbieraj dane w całej infrastrukturze cyfrowej wszędzie tam, gdzie znajdują się dane, w tym wszyscy użytkownicy, urządzenia, aplikacje i infrastruktura, zarówno lokalnie, jak i w wielu chmurach:

  • Ponad 350 wbudowanych łączników danych z obsługą rozwiązań zabezpieczeń i platform w chmurze pierwszej i innej firmy

  • Wbudowane środowisko zarządzania tabelami, które upraszcza wybieranie magazynu danych, obsługując umieszczanie warstwowe w warstwach analitycznych i data lake.

  • Dane pozyskane do warstwy analizy są automatycznie dublowane w warstwie usługi Data Lake, dzięki czemu warstwa usługi Data Lake pozostaje centralnym, ujednoliconym repozytorium dla wszystkich danych zabezpieczeń.

  • Opcje braku kodu i łącznika niestandardowego

  • Normalizacja danych w celu przetłumaczenia różnych źródeł na jednolity, znormalizowany widok

Aby uzyskać więcej informacji, zobacz Microsoft Sentinel łączniki danych.

Podstawowe składniki platformy Microsoft Sentinel

Microsoft Sentinel data lake

Microsoft Sentinel data lake jest w pełni zarządzanym, natywnym dla chmury rozwiązaniem data lake przeznaczonym do operacji zabezpieczeń. Ujednolica, zachowuje i analizuje dane zabezpieczeń na dużą skalę , zapewniając podstawy dla zaawansowanej analizy, analiz opartych na sztucznej inteligencji i obrony agentycznej.

Zaprojektowana pod kątem elastyczności i głębokości usługa data lake obsługuje analizę wielomodalną — w tym zapytania Kusto, analizę relacji opartą na grafach, język modelowania firmy Microsoft (MML), agentów Security Copilot i notesy oparte na sztucznej inteligencji w Visual Studio Code — wszystko to na jednej kopii danych w formacie otwartym.

Dzięki ekonomicznemu przechowywaniu i długoterminowemu przechowywaniu zespoły ds. zabezpieczeń mogą badać trwałe zagrożenia, wzbogacać alerty o kontekst historyczny i tworzyć behawioralne punkty odniesienia przy użyciu miesięcy danych bez narzutu tradycyjnej infrastruktury.

Microsoft Sentinel kluczowych możliwości usługi Data Lake:

  • Scentralizuje dzienniki z usług Microsoft 365, Defender, Azure, Microsoft Entra, Microsoft Purview, Microsoft Intune i ponad 350 łączników danych — w tym usług Amazon Web Services (AWS) i Google Cloud Platform (GCP) — w celu wyeliminowania silosów danych.

  • Optymalizuje koszty przez oddzielenie pozyskiwania danych od analizy, dzięki czemu można przechowywać ogromne ilości danych zabezpieczających i stosować najskuteczniejsze aparaty analityczne do zadań takich jak wyszukiwanie zagrożeń, wykrywanie anomalii i głębokie badania kryminalistyczne.

  • Umożliwia wielomodalną analizę pojedynczej kopii danych w formacie otwartym przy użyciu zapytań Kusto, zaplanowanych zadań i notesów opartych na sztucznej inteligencji w Visual Studio Code — nie jest wymagana żadna konfiguracja infrastruktury.

Aby uzyskać więcej informacji, zobacz Co to jest Microsoft Sentinel data lake?

wykres Microsoft Sentinel

Microsoft Sentinel graf zapewnia ujednoliconą funkcję analizy grafu przez modelowanie i analizowanie złożonych relacji między zasobami, tożsamościami, działaniami i analizą zagrożeń. Umożliwia ona obrońcom firmy Microsoft i agentom sztucznej inteligencji rozumowanie w stosunku do połączonych ze sobą danych, oferując dokładniejsze informacje i szybszą reakcję na zagrożenia cybernetyczne.

Microsoft Sentinel kluczowych możliwości grafów:

  • Ujednolicona analiza oparta na grafach, która zapewnia wbudowane środowiska zabezpieczeń, zgodności, tożsamości i ekosystemu zabezpieczeń firmy Microsoft.
  • Modelowanie relacji w świecie rzeczywistym, które używa węzłów i krawędzi do reprezentowania użytkowników, urządzeń, zasobów w chmurze, przepływów danych i akcji atakujących.
  • Ulepszone rozumowanie zagrożeń ułatwiające obrońcom odpowiadanie na złożone pytania, takie jak ścieżki, które atakujący może podjąć z zagrożonej jednostki do krytycznego zasobu.
  • Kompleksowa ochrona z obsługą scenariuszy przed naruszeniami zabezpieczeń i po naruszeniu zabezpieczeń przy użyciu połączonych grafów w Microsoft Defender i usłudze Microsoft Purview.

Aby uzyskać więcej informacji, zobacz Co to jest wykres Microsoft Sentinel?

serwer Microsoft Sentinel protokołu kontekstowego modelu (MCP)

Microsoft Sentinel serwer MCP udostępnia ujednolicony, hostowany interfejs, który umożliwia zespołom ds. zabezpieczeń interakcję z danymi zabezpieczeń przy użyciu języka naturalnego i tworzenie inteligentnych agentów zabezpieczeń — bez konfiguracji infrastruktury ani łączników niestandardowych. Ta integracja upraszcza eksplorację i automatyzację danych, dzięki czemu operacje zabezpieczeń oparte na sztucznej inteligencji są bardziej dostępne i skuteczne.

Microsoft Sentinel kluczowe możliwości serwera MCP obejmują:

  • Hostowany interfejs, który używa Microsoft Entra do obsługi tożsamości i obsługuje zgodnych klientów na potrzeby bezproblemowych operacji sztucznej inteligencji.
  • Narzędzia zabezpieczeń języka naturalnego, w tym narzędzia ukierunkowane na scenariusze do wykonywania zapytań i rozumowania w Microsoft Sentinel data lake bez wiedzy o schemacie ani kodowania.
  • Przyspieszone tworzenie agentów, dzięki czemu inżynierowie mogą tworzyć niestandardowych agentów zabezpieczeń przy użyciu języka naturalnego, zmniejszając nakład pracy ręcznej i przyspieszając automatyzację.
  • Natywna integracja z usługą data lake Microsoft Sentinel umożliwia zaawansowaną inżynierię kontekstu bez narażania na szwank pokrycia danych lub kosztów.

Aby uzyskać więcej informacji, zobacz What is Microsoft Sentinel's support for Model Context Protocol (MCP)?

środowisko deweloperskie Microsoft Sentinel

Microsoft Sentinel oferuje partnerom szerokie możliwości tworzenia rozwiązań, które mogą publikować za pośrednictwem sklepu Microsoft Security Store lub Microsoft Sentinel SIEM Content Hub. Oparte na Microsoft Sentinel umożliwia obsługę nowych scenariuszy przy użyciu szerokiego zakresu danych zabezpieczeń, możliwości przetwarzania i środowisk sztucznej inteligencji bez konieczności używania nowych potoków, aparatów obliczeniowych lub infrastruktury magazynu.

Na przykład partnerzy mogą tworzyć, pakować i publikować:

  • Microsoft Sentinel zawartości SIEM, takiej jak łączniki, reguły analityczne, zapytania wyszukiwania zagrożeń i podręczniki.
  • Microsoft Sentinel zawartości platformy, takiej jak łączniki, zadania notesu Jupyter do analizowania danych i agenci, którzy skorelują te dane z istniejącą zawartością usługi Lake. Agent może następnie wchodzić w interakcje z innymi punktami końcowymi i aplikacjami zewnętrznymi, aby zapewnić klientom zaawansowane, ujednolicone środowisko.

Aby uzyskać więcej informacji, zobacz Tworzenie i publikowanie rozwiązań Microsoft Sentinel.

Wprowadzenie

Aby rozpocząć pracę z platformą Microsoft Sentinel i rozwiązaniem SIEM, zobacz:

  • Last updated on