Kiedy należy używać usługi Microsoft Sentinel
Microsoft Sentinel to rozwiązanie do wykonywania operacji zabezpieczeń w środowiskach chmurowych i lokalnych.
Użyj usługi Microsoft Sentinel, jeśli chcesz:
- Zbierać dane dotyczące zdarzeń z różnych źródeł.
- Wykonywać operacje zabezpieczeń na tych danych w celu zidentyfikowania podejrzanych działań.
Możliwe operacje zabezpieczeń:
- Wizualizacja danych dziennika
- Wykrywanie anomalii
- Wyszukiwanie zagrożeń
- Badanie zdarzenia związanego z bezpieczeństwem
- Automatyczna odpowiedź na alerty i zdarzenia
Usługa Microsoft Sentinel oferuje inne możliwości, które mogą pomóc w podjęciu decyzji, czy jest ona odpowiednia dla Ciebie:
- Rozwiązanie SIEM natywne dla chmury: bez serwerów do aprowizacji skalowanie jest bez wysiłku
- Integracja z usługą Azure Logic Apps i jej setkami łączników
- Zalety badań i uczenia maszynowego firmy Microsoft
- Kluczowe źródła dzienników udostępniane bezpłatnie
- Obsługa środowisk chmury hybrydowej i środowiska lokalnego
- SIEM i data lake wszystkie w jednym
Po rozpoczęciu badania usługi Microsoft Sentinel organizacja miała pewne jasne wymagania:
- Obsługa danych z poziomu wielu środowisk chmurowych
- Funkcje wymagane przez normy centrum operacji zabezpieczeń (SOC), bez zbytniego obciążenia administracyjnego
Okazało się, że usługa Microsoft Sentinel może być dobrym rozwiązaniem. Oferuje ona łączniki danych dla dziennika systemu (syslog), usługi Amazon Web Services (AWS) i innych źródeł oraz możliwość bezproblemowego skalowania bez konieczności aprowizacji serwerów. Podczas analizy zawarto również upewnić się, że organizacja powinna dokonać automatyzacji kluczowej części strategii centrum SOC. Automatyzacja nie była czymś, co organizacja rozważała wcześniej, ale teraz będziesz korzystać z elementów playbook automatyzacji.
W przypadku zbierania dzienników infrastruktury lub aplikacji na potrzeby monitorowania wydajności należy również rozważyć w tym celu użycie usług Azure Monitor i Log Analytics.
Być może chcesz poznać stan zabezpieczeń środowiska, zapewnić zgodność z zasadami i sprawdzić, czy nie ma błędów w konfiguracji zabezpieczeń. Jeśli tak, rozważ również użycie Microsoft Defender dla Chmury. Możesz pozyskiwać alerty Defender dla Chmury jako łącznik danych dla usługi Microsoft Sentinel.