Co to jest usługa Microsoft Sentinel?

  • 6 min

Zacznijmy od kilku definicji i przyjrzyjmy się systemom zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) i usłudze Microsoft Sentinel.

Co to jest zarządzanie informacjami i zdarzeniami zabezpieczeń (SIEM)?

System SIEM to narzędzie, którego organizacja używa do zbierania, analizowania i wykonywania operacji zabezpieczeń w systemach komputerowych. Te systemy mogą być urządzeniami, aplikacjami lub występować w obu postaciach jednocześnie.

W najprostszej formie system SIEM umożliwia:

  • Zbieranie danych i wykonywanie zapytań dotyczących dzienników.
  • Tworzenie pewnych korelacji lub wykrywanie anomalii.
  • Generowanie alertów i zdarzeń w oparciu o Twoje ustalenia.

System SIEM może oferować funkcje takie jak:

  • Zarządzanie dziennikami: możliwość zbierania, przechowywania i wykonywania zapytań dotyczących danych dziennika z zasobów w danym środowisku.

  • Alerty: proaktywne spojrzenie wewnątrz danych dziennika pod kątem potencjalnych zdarzeń zabezpieczeń i anomalii.

  • Wizualizacja: wykresy i pulpity nawigacyjne, które zapewniają wizualny wgląd w dane dziennika.

  • Zarządzanie zdarzeniami: możliwość tworzenia, aktualizowania, przypisywania i badania zidentyfikowanych zdarzeń.

  • Wykonywanie zapytań dotyczących danych: zaawansowany język zapytań, podobny do tego w przypadku zarządzania dziennikami, którego można użyć do wykonywania zapytań i interpretowania danych.

Co to jest usługa Microsoft Sentinel?

Microsoft Sentinel to natywny dla chmury system SIEM, którego może używać zespół ds. operacji zabezpieczeń w celu:

  • Uzyskanie analiz zabezpieczeń obejmujących całe przedsiębiorstwo dzięki zbieraniu danych z praktycznie dowolnego źródła.
  • Szybkie wykrywanie i badanie zagrożeń za pomocą wbudowanego uczenia maszynowego i analizy zagrożeń firmy Microsoft.
  • Automatyzowanie odpowiedzi na zagrożenia przy użyciu elementów playbook i integracji usługi Azure Logic Apps.

W przeciwieństwie do tradycyjnych rozwiązań SIEM nie trzeba instalować żadnych serwerów lokalnie ani w chmurze, aby uruchomić usługę Microsoft Sentinel. Microsoft Sentinel to usługa wdrażana na platformie Azure. Rozpoczęcie pracy z usługą Sentinel jest możliwe w witrynie Azure Portal w ciągu zaledwie kilka minut.

Usługa Microsoft Sentinel jest ściśle zintegrowana z innymi usługami w chmurze. Dzięki niej można nie tylko szybko pozyskiwać dzienniki, ale można również używać natywnie innych usług w chmurze (na przykład autoryzacji i automatyzacji).

Usługa Microsoft Sentinel pomaga włączyć kompleksowe operacje zabezpieczeń, w tym zbieranie, wykrywanie, badanie i reagowanie:

Diagram showing the end-to-end functionality of Microsoft Sentinel.

Przyjrzyjmy się kluczowym składnikom w usłudze Microsoft Sentinel.