Co to jest usługa Microsoft Sentinel?

  • 6 min

Zacznijmy od kilku definicji i przyjrzyjmy się systemom zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) i usłudze Microsoft Sentinel.

Co to jest zarządzanie informacjami i zdarzeniami zabezpieczeń (SIEM)?

System SIEM to narzędzie, którego organizacja używa do zbierania, analizowania i wykonywania operacji zabezpieczeń w systemach komputerowych. Te systemy mogą być urządzeniami, aplikacjami lub występować w obu postaciach jednocześnie.

W najprostszej postaci system SIEM umożliwia:

  • Zbieranie danych i wykonywanie zapytań dotyczących dzienników.
  • Tworzenie pewnych korelacji lub wykrywanie anomalii.
  • Generowanie alertów i zdarzeń w oparciu o Twoje ustalenia.

System SIEM może oferować funkcje takie jak:

  • Zarządzanie dziennikami: Możliwość zbierania, przechowywania i wykonywania zapytań dotyczących danych dziennika z zasobów w ramach naszego środowiska.

  • Generowanie alertów: Aktywne wyszukiwanie w obrębie danych dziennika pod kątem potencjalnych zdarzeń związanych z bezpieczeństwem i anomalii.

  • Wizualizacja: Wykresy i pulpity nawigacyjne umożliwiające uzyskanie wizualnego wglądu w dane dziennika.

  • Zarządzanie zdarzeniami: Możliwość tworzenia, aktualizowania, przypisywania i badania zidentyfikowanych zdarzeń.

  • Wykonywanie zapytań o dane: Rozszerzony język zapytań, podobny do języka zarządzania dziennikami, który służy do wykonywania zapytań i zrozumienia danych.

Co to jest usługa Microsoft Sentinel?

Microsoft Sentinel to natywny dla chmury system SIEM, którego może używać zespół ds. operacji zabezpieczeń w celu:

  • Uzyskanie analiz zabezpieczeń obejmujących całe przedsiębiorstwo dzięki zbieraniu danych z praktycznie dowolnego źródła.
  • Szybkie wykrywanie i badanie zagrożeń za pomocą wbudowanego uczenia maszynowego i analizy zagrożeń firmy Microsoft.
  • Automatyzowanie odpowiedzi na zagrożenia przy użyciu elementów playbook i integracji usługi Azure Logic Apps.

W przeciwieństwie do tradycyjnych rozwiązań SIEM do uruchamiania usługi Microsoft Sentinel nie trzeba instalować żadnych serwerów lokalnie ani w chmurze. Microsoft Sentinel to usługa wdrażana na platformie Azure. Rozpoczęcie pracy z usługą Sentinel jest możliwe w witrynie Azure Portal w ciągu zaledwie kilka minut.

Usługa Microsoft Sentinel jest ściśle zintegrowana z innymi usługami w chmurze. Dzięki niej można nie tylko szybko pozyskiwać dzienniki, ale można również używać natywnie innych usług w chmurze (na przykład autoryzacji i automatyzacji).

Usługa Microsoft Sentinel pomaga włączyć kompleksowe operacje zabezpieczeń, w tym zbieranie, wykrywanie, badanie i reagowanie:

Ten diagram przedstawia kompleksowe funkcje usługi Microsoft Sentinel.

Przyjrzyjmy się kluczowym składnikom usługi Microsoft Sentinel.