Redigera

Dela via

Övervaka hybridsäkerhet med Microsoft Defender för molnet och Microsoft Sentinel

Azure Log Analytics
Azure Monitor
Microsoft Defender for Cloud
Microsoft Sentinel
Azure Stack

Den här referensarkitekturen visar hur du använder Microsoft Defender för molnet och Microsoft Sentinel för att övervaka säkerhetskonfigurationen och telemetrin för lokala arbetsbelastningar, Azure och Azure Stack.

Arkitektur

Diagram som visar övervakningsagenten både lokalt och i Azure som överför data till Microsoft Defender för molnet och Microsoft Sentinel.

Ladda ned en Visio-fil med den här arkitekturen.

Arbetsflöde

  • Microsoft Defender för molnet. Det här är en avancerad, enhetlig säkerhetshanteringsplattform som Microsoft erbjuder alla Azure-prenumeranter. Defender for Cloud är segmenterat som en molnsäkerhetsstatushantering (CSPM) och molnplattform för arbetsbelastningsskydd (CWPP). CWPP definieras av arbetsbelastningscentrerade säkerhetsskyddslösningar, som vanligtvis är agentbaserade. Microsoft Defender för molnet ger skydd mot hot för Azure-arbetsbelastningar, både lokalt och i andra moln, inklusive virtuella Windows- och Linux-datorer (VM), containrar, databaser och Sakernas Internet (IoT). När den aktiveras distribueras Log Analytics-agenten automatiskt till Azure Virtual Machines. För lokala Windows- och Linux-servrar och virtuella datorer kan du distribuera agenten manuellt, använda organisationens distributionsverktyg, till exempel Microsoft Endpoint Protection Manager, eller använda skriptbaserade distributionsmetoder. Defender for Cloud börjar utvärdera säkerhetstillståndet för alla dina virtuella datorer, nätverk, program och data.
  • Microsoft Sentinel. Är en molnbaserad lösning för säkerhetsinformation och händelsehantering (SIEM) och soar (security orchestration automated response) som använder avancerad AI och säkerhetsanalys som hjälper dig att identifiera, jaga, förhindra och svara på hot i hela företaget.
  • Azure Stack. Är en produktportfölj som utökar Azure-tjänster och -funktioner till valfri miljö, inklusive datacenter, gränsplatser och fjärranslutna kontor. Azure Stack-implementeringar använder vanligtvis rack med fyra till sexton servrar som skapas av betrodda maskinvarupartners och levereras till ditt datacenter.
  • Azure Monitor. Samlar in övervakningstelemetri från en mängd olika lokala källor och Azure-källor. Hanteringsverktyg, till exempel de i Microsoft Defender för molnet och Azure Automation, skickar även loggdata till Azure Monitor.
  • Log Analytics-arbetsyta. Azure Monitor lagrar loggdata på en Log Analytics-arbetsyta, som är en container som innehåller data och konfigurationsinformation.
  • Log Analytics-agent. Log Analytics-agenten samlar in övervakningsdata från gästoperativsystemet och vm-arbetsbelastningar i Azure, från andra molnleverantörer och lokalt. Log Analytics-agenten har stöd för proxykonfiguration och i det här scenariot fungerar en OmS-gateway (Microsoft Operations Management Suite) som proxy.
  • Lokalt nätverk. Det här är brandväggen som har konfigurerats för att stödja HTTPS-utgående från definierade system.
  • Lokala Windows- och Linux-system. System med Log Analytics-agenten installerad.
  • Virtuella Azure Windows- och Linux-datorer. System där Övervakningsagenten för Microsoft Defender för molnet är installerad.

Komponenter

Information om scenario

Potentiella användningsfall

Vanliga användningsområden för den här arkitekturen inkluderar:

  • Metodtips för integrering av lokal säkerhet och telemetriövervakning med Azure-baserade arbetsbelastningar
  • Integrera Microsoft Defender för molnet med Azure Stack
  • Integrera Microsoft Defender för molnet med Microsoft Sentinel

Rekommendationer

Följande rekommendationer gäller för de flesta scenarier. Följ dessa rekommendationer om du inte har ett visst krav som åsidosätter dem.

Uppgradering av Microsoft Defender för molnet

Den här referensarkitekturen använder Microsoft Defender för molnet för att övervaka lokala system, virtuella Azure-datorer, Azure Monitor-resurser och till och med virtuella datorer som hanteras av andra molnleverantörer. Information om priser för Microsoft Defender för molnet finns här.

Anpassad Log Analytics-arbetsyta

Microsoft Sentinel behöver åtkomst till en Log Analytics-arbetsyta. I det här scenariot kan du inte använda standardarbetsytan Defender för Cloud Log Analytics med Microsoft Sentinel. I stället skapar du en anpassad arbetsyta. Datakvarhållning för en anpassad arbetsyta baseras på prisnivån för arbetsytan och du hittar prismodeller för övervakningsloggar här.

Kommentar

Microsoft Sentinel kan köras på arbetsytor i alla ga-regioner (allmän tillgänglighet) i Log Analytics förutom regionerna Kina och Tyskland (Nationella). Data som Microsoft Sentinel genererar, till exempel incidenter, bokmärken och aviseringsregler, som kan innehålla vissa kunddata från dessa arbetsytor, sparas antingen i Europa (för Europa-baserade arbetsytor), i Australien (för Australien-baserade arbetsytor) eller i USA, östra (för arbetsytor som finns i någon annan region).

Att tänka på

Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som kan användas för att förbättra kvaliteten på en arbetsbelastning. Mer information finns i Microsoft Azure Well-Architected Framework.

Säkerhet

Säkerhet ger garantier mot avsiktliga attacker och missbruk av dina värdefulla data och system. Mer information finns i Översikt över säkerhetspelare.

En säkerhetsprincip definierar den uppsättning kontroller som rekommenderas för resurser i en angiven prenumeration. I Microsoft Defender för molnet definierar du principer för dina Azure-prenumerationer enligt företagets säkerhetskrav och typen av program eller datakänslighet för varje prenumeration.

De säkerhetsprinciper som du aktiverar i Microsoft Defender för molnet ger säkerhetsrekommendationer och övervakning. Mer information om säkerhetsprinciper finns i Stärka din säkerhetsprincip med Microsoft Defender för molnet. Du kan endast tilldela säkerhetsprinciper i Microsoft Defender för molnet på hanterings- eller prenumerationsgruppsnivå.

Kommentar

Del ett av referensarkitekturen beskriver hur du gör det möjligt för Microsoft Defender för molnet att övervaka Azure-resurser, lokala system och Azure Stack-system.

Kostnadsoptimering

Kostnadsoptimering handlar om att titta på sätt att minska onödiga utgifter och förbättra drifteffektiviteten. Mer information finns i Översikt över kostnadsoptimeringspelare.

Som tidigare beskrivits kan kostnader utöver din Azure-prenumeration omfatta:

  1. Kostnader för Microsoft Defender för molnet. Mer information finns i Priser för Defender för molnet.
  2. Azure Monitor-arbetsytan erbjuder detaljerad fakturering. Mer information finns i Hantera användning och kostnader med Azure Monitor-loggar.
  3. Microsoft Sentinel är en betald tjänst. Mer information finns i Priser för Microsoft Sentinel.

Driftsäkerhet

Driftskvalitet omfattar de driftsprocesser som distribuerar ett program och håller det igång i produktion. Mer information finns i Översikt över grundpelare för driftskvalitet.

Microsoft Defender för molnroller

Defender for Cloud utvärderar konfigurationen av dina resurser för att identifiera säkerhetsproblem och sårbarheter och visar information som rör en resurs när du tilldelas rollen ägare, deltagare eller läsare för den prenumeration eller resursgrupp som en resurs tillhör.

Utöver dessa roller finns det två specifika Defender for Cloud-roller:

  • Säkerhetsläsare. En användare som tillhör den här rollen har skrivskyddade rättigheter till Defender för molnet. Användaren kan observera rekommendationer, aviseringar, en säkerhetsprincip och säkerhetstillstånd, men kan inte göra ändringar.

  • Säkerhetsadministratör. En användare som tillhör den här rollen har samma rättigheter som säkerhetsläsaren och kan även uppdatera säkerhetsprinciper och stänga aviseringar och rekommendationer. Det här är vanligtvis användare som hanterar arbetsbelastningen.

  • Säkerhetsrollerna Säkerhetsläsare och Säkerhetsadministratör har endast åtkomst i Defender för molnet. Säkerhetsrollerna har inte åtkomst till andra Azure-tjänstområden, till exempel lagring, webb, mobil eller IoT.

Microsoft Sentinel-prenumeration

  • För att aktivera Microsoft Sentinel behöver du deltagarbehörighet till prenumerationen där Microsoft Sentinel-arbetsytan finns.
  • Om du vill använda Microsoft Sentinel behöver du behörighet som deltagare eller läsare för den resursgrupp som arbetsytan tillhör.
  • Microsoft Sentinel är en betald tjänst. Mer information finns i Priser för Microsoft Sentinel.

Prestandaeffektivitet

Prestandaeffektivitet är arbetsbelastningens förmåga att skala på ett effektivt sätt för att uppfylla de krav som användarna ställer på den. Mer information finns i Översikt över grundpelare för prestandaeffektivitet.

Log Analytics-agenten för Windows och Linux är utformad för att ha mycket minimal inverkan på prestanda för virtuella datorer eller fysiska system.

Den operativa processen i Microsoft Defender för molnet påverkar inte dina normala operativa procedurer. I stället övervakar den dina distributioner passivt och ger rekommendationer baserat på de säkerhetsprinciper som du aktiverar.

Distribuera det här scenariot

Skapa en Log Analytics-arbetsyta i Azure-portalen

  1. Logga in på Azure-portalen som en användare med behörighet som säkerhetsadministratör.
  2. Välj Alla tjänster i Azure-portalen. Under listan med resurser, skriv in Log Analytics. När du börjar ange filtreras listan baserat på dina indata. Välj Log Analytics-arbetsytor.
  3. Välj Lägg till på Log Analytics-sidan.
  4. Ange ett namn för den nya Log Analytics-arbetsytan, till exempel Defender för Cloud-SentinelWorkspace. Det här namnet måste vara globalt unikt för alla Azure Monitor-prenumerationer.
  5. Välj en prenumeration genom att välja i listrutan om standardvalet inte är lämpligt.
  6. För Resursgrupp väljer du att använda en befintlig resursgrupp eller skapa en ny.
  7. För Plats väljer du en tillgänglig geoplats.
  8. Välj OK för att slutföra konfigurationen. Ny arbetsyta som skapats för arkitekturen

Aktivera Defender för molnet

När du fortfarande är inloggad på Azure-portalen som en användare med behörighet som säkerhetsadministratör väljer du Defender för molnet i panelen. Defender för molnet – Översikt öppnas:

Instrumentpanelsbladet Defender för molnöversikt öppnas

Defender for Cloud aktiverar automatiskt den kostnadsfria nivån för någon av de Azure-prenumerationer som inte tidigare registrerats av dig eller en annan prenumerationsanvändare.

Uppgradera Microsoft Defender för molnet

  1. På huvudmenyn i Defender för molnet väljer du Komma igång.
  2. Välj knappen Uppgradera nu. Defender for Cloud visar en lista över dina prenumerationer och arbetsytor som är berättigade att användas.
  3. Du kan välja berättigade arbetsytor och prenumerationer för att påbörja din utvärderingsperiod. Välj den tidigare skapade arbetsytan ASC-SentinelWorkspace . i den nedrullningsbara menyn.
  4. Välj Starta utvärderingsversion på huvudmenyn i Defender för molnet.
  5. Dialogrutan Installera agenter bör visas.
  6. Välj knappen Installera agenter. Bladet Defender för molnet – Täckning visas och du bör observera den valda prenumerationen. Bladet Säkerhetstäckning som visar att dina prenumerationer ska vara öppna

Nu har du aktiverat automatisk etablering och Defender för molnet installerar Log Analytics-agenten för Windows (HealthService.exe) och omsagenten för Linux på alla virtuella Azure-datorer som stöds och alla nya som du skapar. Du kan inaktivera den här principen och hantera den manuellt, även om vi starkt rekommenderar automatisk etablering.

Mer information om de specifika Funktionerna i Defender för molnet som är tillgängliga i Windows och Linux finns i Funktionstäckning för datorer.

Aktivera Microsoft Defender för molnövervakning av lokala Windows-datorer

  1. I Azure-portalen på bladet Defender för molnet – översikt väljer du fliken Kom igång .
  2. Välj Konfigurera under Lägg till nya datorer som inte kommer från Azure. En lista över dina Log Analytics-arbetsytor visas och bör innehålla Defender för Cloud-SentinelWorkspace.
  3. Välj den här arbetsytan. Bladet Direktagent öppnas med en länk för att ladda ned en Windows-agent och nycklar för din arbetsyteidentifiering (ID) som ska användas när du konfigurerar agenten.
  4. Välj den länk för att ladda ned Windows-agent som gäller för din typ av processor, så att du kan ladda ned installationsfilen.
  5. Till höger om Arbetsyte-ID väljer du Kopiera och klistrar sedan in ID:t i Anteckningar.
  6. Till höger om Primärnyckel väljer du Kopiera och klistrar sedan in nyckeln i Anteckningar.

Installera Windows-agenten

Följ dessa steg för att installera agenten på måldatorerna.

  1. Kopiera filen till måldatorn och kör sedan installationsprogrammet.
  2. Välkomst-sidan, väljer du Nästa.
  3. På sidan Licensvillkor läser du licensen och väljer sedan Jag accepterar.
  4. På sidan Målmapp ändrar du eller behåller standardinstallationsmappen och klickar sedan på Nästa.
  5. På sidan Installationsalternativ för agent väljer du att ansluta agenten till Azure Log Analytics och väljer Nästa.
  6. På sidan Azure Log Analytics klistrar du in arbetsyte-ID och arbetsytenyckel (primär nyckel) som du kopierade till Anteckningar i tidigare steg.
  7. Om datorn ska rapportera till en Log Analytics-arbetsyta i Azure Government-molnet väljer du Azure US Government i listrutan Azure Cloud. Om datorn behöver kommunicera via en proxyserver till Log Analytics-tjänsten väljer du Avancerat och anger sedan proxyserverns URL och portnummer.
  8. När du har angett nödvändiga konfigurationsinställningar väljer du Nästa. Installationssidan för Log Analytics-agenten för att ansluta agenten till en Azure Log Analytics-arbetsyta
  9. På sidan Klar att installera kontrollerar du valen och väljer sedan Installera.
  10. På sidan Konfiguration har slutförts väljer du Slutför.

När du är klar visas Log Analytics-agenten i Windows Kontrolna tabla och du kan granska konfigurationen och kontrollera att agenten är ansluten.

Mer information om hur du installerar och konfigurerar agenten finns i Installera Log Analytics-agenten på Windows-datorer.

Log Analytics-agenttjänsten samlar in händelse- och prestandadata, kör uppgifter och andra arbetsflöden som definierats i ett hanteringspaket. Defender for Cloud utökar sina molnplattformar för arbetsbelastningsskydd genom att integrera med Microsoft Defender för servrar. Tillsammans tillhandahåller de omfattande funktioner för otkrivanje i odgovor na krajnjim tačkama (EDR).

Mer information om Microsoft Defender för servrar finns i Registrera servrar till Tjänsten Microsoft Defender för servrar.

Aktivera Microsoft Defender för molnövervakning av lokala Linux-datorer

  1. Gå tillbaka till fliken Komma igång enligt beskrivningen ovan.
  2. Välj Konfigurera under Lägg till nya datorer som inte kommer från Azure. En lista över dina Log Analytics-arbetsytor visas. Listan bör innehålla Defender för Cloud-SentinelWorkspace som du skapade.
  3. På bladet Direktagent under DOWNLOAD AND ONBOARD AGENT FOR LINUX (LADDA NED OCH REGISTRERA AGENT FÖR LINUX) väljer du kopiera för att kopiera kommandot wget.
  4. Öppna Anteckningar och klistra sedan in det här kommandot. Spara den här filen på en plats som du kan komma åt från din Linux-dator.

Kommentar

I Unix- och Linux-operativsystem är wget ett verktyg för nedladdning av icke-interaktiva filer från webben. Den stöder HTTPS, FTP:er och proxyservrar.

Linux-agenten använder Daemon-ramverket för Linux-granskning. Defender for Cloud integrerar funktioner från det här ramverket i Log Analytics-agenten, vilket gör att granskningsposter kan samlas in, berikas och aggregeras i händelser med hjälp av Log Analytics-agenten för Linux. Defender for Cloud lägger kontinuerligt till ny analys som använder Linux-signaler för att identifiera skadliga beteenden på molnbaserade och lokala Linux-datorer.

En lista över Linux-aviseringar finns i referenstabellen med aviseringar.

Installera Linux-agenten

Följ dessa steg för att installera agenten på de aktuella Linux-datorerna:

  1. Öppna filen som du sparade tidigare på Linux-datorn. Välj och kopiera hela innehållet, öppna en terminalkonsol och klistra sedan in kommandot.
  2. När installationen är klar kan du verifiera att omsagenten har installerats genom att köra kommandot pgrep. Kommandot returnerar omsagent-processidentifieraren (PID). Du hittar loggarna för agenten på: /var/opt/microsoft/omsagent/"workspace id"/log/.

Det kan ta upp till 30 minuter innan den nya Linux-datorn visas i Defender för molnet.

Aktivera Microsoft Defender för molnövervakning av virtuella Azure Stack-datorer

När du har registrerat din Azure-prenumeration kan du aktivera Defender för molnet för att skydda dina virtuella datorer som körs på Azure Stack genom att lägga till azure monitor-, uppdaterings- och konfigurationshanterings-VM-tillägget från Azure Stack Marketplace. Så här gör du:

  1. Gå tillbaka till fliken Komma igång enligt beskrivningen ovan.
  2. Välj Konfigurera under Lägg till nya datorer som inte kommer från Azure. En lista över dina Log Analytics-arbetsytor visas och den bör innehålla Defender för Cloud-SentinelWorkspace som du skapade.
  3. På bladet Direktagent finns en länk för att ladda ned agenten och nycklarna för ditt arbetsyte-ID som ska användas under agentkonfigurationen. Du behöver inte ladda ned agenten manuellt. Det installeras som ett VM-tillägg i följande steg.
  4. Till höger om Arbetsyte-ID väljer du Kopiera och klistrar sedan in ID:t i Anteckningar.
  5. Till höger om Primärnyckel väljer du Kopiera och klistrar sedan in nyckeln i Anteckningar.

Aktivera Defender för molnövervakning av virtuella Azure Stack-datorer

Microsoft Defender för molnet använder azure monitor-, uppdaterings- och konfigurationshanteringstillägget för virtuella datorer som paketeras med Azure Stack. Följ dessa steg för att aktivera tillägget Azure Monitor, Update och Configuration Management :

  1. Logga in på Azure Stack-portalen på en ny webbläsarflik.
  2. Se sidan Virtuella datorer och välj sedan den virtuella dator som du vill skydda med Defender för molnet.
  3. Välj Tillägg. Listan över VM-tillägg som är installerade på den här virtuella datorn visas.
  4. Välj fliken Lägg till . Menybladet Ny resurs öppnas och visar listan över tillgängliga VM-tillägg.
  5. Välj tillägget Azure Monitor, Update och Configuration Management och välj sedan Skapa. Bladet Installera tilläggskonfiguration öppnas.
  6. På bladet Installera tilläggskonfiguration klistrar du in det arbetsyte-ID och arbetsytenyckel (primärnyckel) som du kopierade till Anteckningar i föregående procedur.
  7. När du har angett nödvändiga konfigurationsinställningar väljer du OK.
  8. När tilläggsinstallationen har slutförts visas dess status som Etablerad lyckades. Det kan ta upp till en timme innan den virtuella datorn visas i Defender for Cloud-portalen.

Mer information om hur du installerar och konfigurerar agenten för Windows finns i Installera agenten med installationsguiden.

Felsökningsproblem för Linux-agenten finns i Så här felsöker du problem med Log Analytics-agenten för Linux.

Nu kan du övervaka dina virtuella Azure-datorer och datorer som inte är Azure-datorer på ett ställe. Med Azure Compute får du en översikt över alla virtuella datorer och datorer tillsammans med rekommendationer. Varje kolumn representerar en uppsättning rekommendationer och färgen representerar de virtuella datorerna eller datorerna och det aktuella säkerhetstillståndet för den rekommendationen. Defender for Cloud tillhandahåller även identifieringar för dessa datorer i säkerhetsaviseringar. Defender for Cloud-lista över system som övervakas på bladet Beräkning

Det finns två typer av ikoner på Compute-bladet:

Lila datorikon som representerar en dator som inte övervakas av Azure Icke-Azure-dator

Blå terminalikon som representerar en Azure-övervakad dator Azure-dator

Kommentar

Del två av referensarkitekturen ansluter aviseringar från Microsoft Defender för molnet och strömmar dem till Microsoft Sentinel.

Rollen för Microsoft Sentinel är att mata in data från olika datakällor och utföra datakorrelation mellan dessa datakällor. Microsoft Sentinel använder maskininlärning och AI för att göra hotjakt, aviseringsidentifiering och hotsvar smartare.

Om du vill registrera Microsoft Sentinel måste du aktivera det och sedan ansluta dina datakällor. Microsoft Sentinel levereras med ett antal anslutningsappar för Microsoft-lösningar som är tillgängliga direkt och tillhandahåller realtidsintegrering, inklusive Microsoft Defender för molnet, Microsoft Threat Protection-lösningar, Microsoft 365-källor (inklusive Office 365), Microsoft Entra-ID, Microsoft Defender för servrar, Microsoft Defender för molnappar med mera. Det finns dessutom inbyggda anslutningsprogram till det bredare säkerhetsekosystemet för lösningar som inte kommer från Microsoft. Du kan också använda Common Event Format, syslog eller API:et representationstillståndsöverföring för att ansluta dina datakällor till Microsoft Sentinel.

Krav för att integrera Microsoft Sentinel med Microsoft Defender för molnet

  1. En Microsoft Azure-prenumeration
  2. En Log Analytics-arbetsyta som inte är standardarbetsytan som skapas när du aktiverar Microsoft Defender för molnet.
  3. Microsoft Defender for Cloud.

Alla tre kraven bör finnas på plats om du arbetade igenom föregående avsnitt.

Globala förutsättningar

  • För att aktivera Microsoft Sentinel behöver du deltagarbehörighet till prenumerationen där Microsoft Sentinel-arbetsytan finns.
  • Om du vill använda Microsoft Sentinel behöver du behörighet som deltagare eller läsare för den resursgrupp som arbetsytan tillhör.
  • Du kan behöva ytterligare behörigheter för att ansluta specifika datakällor. Du behöver inte ytterligare behörigheter för att ansluta till Defender för molnet.
  • Microsoft Sentinel är en betald tjänst. Mer information finns i Priser för Microsoft Sentinel.

Aktivera Microsoft Sentinel

  1. Logga in på Azure-portalen med en användare som har deltagarrättigheter för Defender för Cloud-Sentinelworkspace.
  2. Sök efter och välj Microsoft Sentinel. I Azure-portalen söker du efter termen
  3. Markera Lägga till.
  4. På bladet Microsoft Sentinel väljer du Defender för Cloud-Sentinelworkspace.
  5. I Microsoft Sentinel väljer du Dataanslutningsprogramnavigeringsmenyn .
  6. I galleriet för dataanslutningsappar väljer du Microsoft Defender för molnet och väljer knappen Öppna anslutningsappens sida . I Microsoft Sentinel visar den öppna sidan Insamlare
  7. Under Konfiguration väljer du Anslut bredvid de prenumerationer som du vill att aviseringar ska strömma till Microsoft Sentinel för. Knappen Anslut är endast tillgänglig om du har de behörigheter som krävs och defender för molnet-prenumerationen.
  8. Nu bör du se anslutningsstatusen som Anslutning. När du har anslutit växlar den till Ansluten.
  9. När du har bekräftat anslutningen kan du stänga inställningarna för Defender för Cloud Data Connector och uppdatera sidan för att observera aviseringar i Microsoft Sentinel. Det kan ta lite tid innan loggarna börjar synkroniseras med Microsoft Sentinel. När du har anslutit ser du en datasammanfattning i diagrammet Mottagna data och datatypernas anslutningsstatus.
  10. Du kan välja om du vill att aviseringarna från Microsoft Defender för molnet ska generera incidenter automatiskt i Microsoft Sentinel. Under Skapa incidenter väljer du Aktiverad för att aktivera standardanalysregeln som automatiskt skapar incidenter från aviseringar. Du kan sedan redigera den här regeln under Analysfliken Aktiva regler .
  11. Om du vill använda relevant schema i Log Analytics för Microsoft Defender for Cloud-aviseringar söker du efter SecurityAlert.

En fördel med att använda Microsoft Sentinel som SIEM är att det ger datakorrelation mellan flera källor, vilket gör att du kan få en överblick över organisationens säkerhetsrelaterade händelser från slutpunkt till slutpunkt.

Mer information om Microsoft Sentinel finns i följande artiklar:

Nästa steg

Azure Monitor

Microsoft Defender for Cloud

Microsoft Sentinel

Azure Stack