Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Sentinel — это облачная платформа управления информационной безопасностью и событиями безопасности (SIEM) и единая платформа безопасности для агентской защиты. Чтобы удовлетворить требования современных сложных угроз, Microsoft Sentinel превратился из традиционной SIEM в SIEM и платформу. Она выходит за рамки статических средств управления на основе правил и реагирования после нарушения безопасности и предоставляет основу, готовую к использованию ИИ, которая преобразует данные телеметрии в граф безопасности, стандартизирует доступ для агентов и координирует автономные действия, сохраняя при этом людей в команде стратегию и исследования с высоким воздействием.
Как SIEM, Microsoft Sentinel обеспечивает безопасность на основе ИИ в многооблачных и многоплатформенных средах, предоставляя надежные возможности для обнаружения угроз, исследования, охоты, реагирования и автоматического прерывания атак. Как платформа, Microsoft Sentinel предоставляет основу, основанную на современном озере данных для глубокой аналитики, возможностей графа для контекстного анализа, сервера размещенного протокола контекста модели (MCP) для инструментов, готовых к агенту, и возможностей разработчиков для создания и развертывания решений через хранилище безопасности.
В этой статье представлен обзор Microsoft Sentinel и его основных компонентов. В ней объясняется, как Microsoft Sentinel помогает группам по обеспечению безопасности обнаруживать угрозы и реагировать на них, а также постоянно адаптироваться за счет объединения данных, автоматизации ответов и получения аналитических сведений на основе ИИ.
ИИ—первый, комплексный SIEM и платформа безопасности
На этой схеме показана Microsoft Sentinel комплексной платформы SIEM и безопасности на основе ИИ, в котором выделены основные компоненты и интеграция с Microsoft Security Copilot.
Microsoft Sentinel SIEM
Облачное решение SIEM Microsoft Sentinel обеспечивает безопасность на основе ИИ в многооблачных и многоплатформенных средах. Она предоставляет комплексные возможности для обнаружения угроз, исследования, реагирования и упреждающей охоты, предоставляя группам безопасности единое представление о своем предприятии.
Microsoft Sentinel SIEM доступен на портале Microsoft Defender для клиентов с Defender XDR или без лицензии E5, предлагая единый интерфейс операций безопасности. Эта интеграция упрощает рабочие процессы, улучшает видимость и помогает аналитикам быстрее и точнее реагировать на все более сложные угрозы.
Интеграция Microsoft Sentinel SIEM с порталом Defender и Security Copilot создает мощную экосистему, которая повышает эффективность операций безопасности. Security Copilot позволяет аналитикам взаимодействовать с данными Microsoft Sentinel с помощью естественного языка, создавать запросы на охоту и автоматизировать исследования, что делает реагирование на угрозы быстрее и доступнее.
Дополнительные сведения см. в статье Что такое Microsoft Sentinel SIEM?
Соединители данных
Соберите данные во всем цифровом пространстве, где бы они ни находились, включая всех пользователей, устройств, приложений и инфраструктуру как в локальной среде, так и в нескольких облаках:
Более 350 встроенных соединителей данных с поддержкой первых и сторонних решений безопасности и облачных платформ
Встроенный интерфейс управления таблицами, упрощающий выбор хранилища данных, поддерживающий многоуровневое размещение на уровнях аналитики и озера данных.
Данные, передаваемые на уровень аналитики, автоматически отражаются на уровне озера данных, что гарантирует, что уровень озера данных остается центральным единым репозиторием для всех данных безопасности.
Параметры без кода и настраиваемых соединителей
Нормализация данных для преобразования различных источников в однородное нормализованное представление
Дополнительные сведения см. в разделе соединители данных Microsoft Sentinel.
Основные компоненты платформы Microsoft Sentinel
озеро данных Microsoft Sentinel
Microsoft Sentinel озера данных — это полностью управляемое облачное озеро данных, специально созданное для операций безопасности. Она объединяет, хранит и анализирует данные безопасности в большом масштабе, обеспечивая основу для расширенной аналитики, аналитики на основе ИИ и агентской защиты.
Озеро данных, предназначенное для гибкости и глубины, поддерживает мультимодальную аналитику, включая запросы Kusto, анализ связей на основе графов, microsoft modeling Language (MML), агенты Security Copilot и записные книжки на основе ИИ в Visual Studio Code, — все это в одной копии данных открытого формата.
Благодаря экономичному хранению и долгосрочному хранению команды безопасности могут исследовать постоянные угрозы, обогащать оповещения историческим контекстом и создавать базовые показатели поведения с использованием нескольких месяцев данных без затрат на традиционную инфраструктуру.
ключевые возможности озера данных Microsoft Sentinel включают в себя:
Централизация журналов из Microsoft 365, Defender, Azure, Microsoft Entra, Microsoft Purview, Microsoft Intune и более 350 соединителей данных, включая Amazon Web Services (AWS) и Google Cloud Platform (GCP), чтобы устранить разрозненности данных.
Оптимизирует затраты, отсоединяя прием данных от аналитики, что позволяет хранить большие объемы данных безопасности и применять наиболее эффективные аналитические механизмы для таких задач, как охота за угрозами, обнаружение аномалий и глубокие судебно-медицинские исследования.
Включает мультимодальную аналитику для одной копии данных открытого формата с помощью запросов Kusto, запланированных заданий и записных книжек на основе ИИ в Visual Studio Code, при этом настройка инфраструктуры не требуется.
Дополнительные сведения см. в статье Что такое Microsoft Sentinel озера данных?
граф Microsoft Sentinel
Microsoft Sentinel граф предоставляет возможности единой аналитики графов путем моделирования и анализа сложных связей между ресурсами, удостоверениями, действиями и аналитикой угроз. Она позволяет microsoft Defenders и агентам ИИ рассуждать о взаимосвязанных данных, предоставляя более глубокие аналитические сведения и ускоряя реагирование на киберугрозы.
Microsoft Sentinel основных возможностей графа:
- Единая аналитика на основе графов, которая основана на встроенных функциях безопасности, соответствия требованиям, удостоверений и экосистемы безопасности Майкрософт.
- Моделирование реальных отношений с использованием узлов и ребер для представления пользователей, устройств, облачных ресурсов, потоков данных и действий злоумышленников.
- Расширенное обоснование угроз, помогающее защитникам отвечать на сложные вопросы, например, какие уязвимые пути злоумышленник может пройти из скомпрометированного объекта в критически важный ресурс.
- Сквозная защита с поддержкой сценариев до и после нарушения безопасности с использованием взаимосвязанных графов в Microsoft Defender и Microsoft Purview.
Дополнительные сведения см. в статье Что такое граф Microsoft Sentinel?
сервер Microsoft Sentinel контекстного протокола модели (MCP)
Microsoft Sentinel сервер MCP предоставляет единый размещенный интерфейс, который позволяет группам безопасности взаимодействовать с данными безопасности с помощью естественного языка и создавать интеллектуальные агенты безопасности без настройки инфраструктуры или пользовательских соединителей. Эта интеграция упрощает изучение и автоматизацию данных, что делает операции безопасности на основе ИИ более доступными и эффективными.
Microsoft Sentinel основных возможностей сервера MCP:
- Размещенный интерфейс, который использует Microsoft Entra для удостоверений и поддерживает совместимые клиенты для операций СИ.
- Средства обеспечения безопасности естественного языка, в том числе ориентированные на сценарии средства для запроса и анализа Microsoft Sentinel озера данных без знания схемы или кода.
- Ускоренное создание агента, благодаря которому инженеры могут создавать настраиваемые агенты безопасности с помощью естественного языка, сокращая усилия вручную и ускоряя автоматизацию.
- Встроенная интеграция с озером данных Microsoft Sentinel обеспечивает широкий анализ контекста без ущерба для покрытия данных или затрат.
Дополнительные сведения см. в статье Что такое поддержка Microsoft Sentinel для протокола контекста модели (MCP)?
интерфейс разработчика Microsoft Sentinel
Microsoft Sentinel предоставляет партнерам широкие возможности по созданию эффектных решений, которые они могут публиковать в Microsoft Security Store или центре содержимого SIEM Microsoft Sentinel. Создание на основе Microsoft Sentinel позволяет поддерживать новые сценарии, используя широкий спектр данных безопасности, возможностей обработки и возможностей ИИ, без необходимости в новых конвейерах, вычислительных модулях или инфраструктуре хранилища.
Например, партнеры могут создавать, упаковывая и публиковать:
- Microsoft Sentinel содержимое SIEM, например соединители, правила аналитики, запросы охоты и сборники схем.
- Microsoft Sentinel содержимое платформы, например соединители, задания записной книжки Jupyter для анализа данных и агенты, которые сопоставляют эти данные с существующим содержимым озера. Затем агент может взаимодействовать с другими конечными точками и внешними приложениями, чтобы предоставить клиентам мощный унифицированный интерфейс.
Дополнительные сведения см. в статье Создание и публикация решений Microsoft Sentinel.
Начало работы
Чтобы приступить к работе с платформой Microsoft Sentinel и SIEM, см. следующие статьи:
- Подключение Microsoft Sentinel
- Подключение к озеру данных Microsoft Sentinel и графу Microsoft Sentinel
- соединитель данных Microsoft Sentinel
- Начало работы с сервером MCP Microsoft Sentinel (предварительная версия)
- Управление уровнями данных и хранением на портале Microsoft Defender (предварительная версия)
- Управление и мониторинг затрат для Microsoft Sentinel
- Записные книжки Jupyter в озере данных Microsoft Sentinel
- Создание и публикация решений Microsoft Sentinel