Vad är Microsoft Sentinel?

  • Artikel

Microsoft Sentinel är en skalbar, molnbaserad lösning som tillhandahåller:

  • Säkerhetsinformations- och händelsehantering (SIEM)
  • Säkerhetsorkestrering, automatisering och svar (SOAR)

Microsoft Sentinel levererar intelligent säkerhetsanalys och hotinformation i hela företaget. Med Microsoft Sentinel får du en enda lösning för attackidentifiering, synlighet för hot, proaktiv jakt och hotsvar.

Microsoft Sentinel är din fågelperspektiv i hela företaget som minskar stressen med allt mer avancerade attacker, ökande volymer av aviseringar och långa tidsramar för upplösning.

Kommentar

Microsoft Sentinel ärver metoder för manipulering och oföränderlighet i Azure Monitor. Även om Azure Monitor är en tilläggsbaserad dataplattform innehåller den bestämmelser för att ta bort data i efterlevnadssyfte.

  • Samla in data i molnskala för alla användare, enheter, program och infrastruktur, både lokalt och i flera moln.

  • Identifiera tidigare oupptäckta hot och minimera falska positiva identifieringar med hjälp av Microsofts analys och oöverträffad hotinformation.

  • Undersök hot med artificiell intelligens och jaga misstänkta aktiviteter i stor skala och utnyttja år av cybersäkerhetsarbete på Microsoft.

  • Svara snabbt på incidenter med inbyggd orkestrering och automatisering av vanliga uppgifter.

Microsoft Sentinel innehåller beprövade Azure-tjänster som Log Analytics och Logic Apps. Microsoft Sentinel berikar din undersökning och identifiering med AI. Den tillhandahåller Microsofts hotinformationsström och gör att du kan använda din egen hotinformation.

Kommentar

Den här tjänsten stöder Azure Lighthouse, som gör att tjänstleverantörer kan logga in på sin egen klientorganisation för att hantera prenumerationer och resursgrupper som kunder har delegerat.

Samla in data med hjälp av dataanslutningar

För att kunna registrera Microsoft Sentinel måste du först ansluta till dina datakällor.

Microsoft Sentinel levereras med många anslutningsappar för Microsoft-lösningar som är tillgängliga direkt och som tillhandahåller realtidsintegrering. Några av dessa anslutningsappar är:

  • Microsoft-källor som Microsoft Defender XDR, Microsoft Defender för molnet, Office 365, Microsoft Defender för IoT med mera.

  • Azure-tjänstkällor som Microsoft Entra ID, Azure Activity, Azure Storage, Azure Key Vault, Azure Kubernetes-tjänsten med mera.

Microsoft Sentinel har inbyggda anslutningsappar till de bredare säkerhets- och programekosystemen för lösningar som inte kommer från Microsoft. Du kan också använda vanligt händelseformat, Syslog eller REST-API för att ansluta dina datakällor till Microsoft Sentinel.

Mer information finns i följande artiklar:

Skärmbild av sidan dataanslutningsprogram i Microsoft Sentinel som visar en lista över tillgängliga anslutningsappar.

Skapa interaktiva rapporter med hjälp av arbetsböcker

När du har registrerat dig för Microsoft Sentinel övervakar du dina data med hjälp av integreringen med Azure Monitor-arbetsböcker.

Arbetsböcker visas annorlunda i Microsoft Sentinel än i Azure Monitor. Men det kan vara bra att se hur du skapar en arbetsbok i Azure Monitor. Med Microsoft Sentinel kan du skapa anpassade arbetsböcker i dina data. Microsoft Sentinel levereras också med inbyggda arbetsboksmallar så att du snabbt kan få insikter över dina data så snart du ansluter en datakälla.

Skärmbild av arbetsbokssidan i Microsoft Sentinel med en lista över tillgängliga arbetsböcker.

Arbetsböcker är avsedda för SOC-tekniker och analytiker på alla nivåer för att visualisera data.

Arbetsböcker används bäst för övergripande vyer av Microsoft Sentinel-data och kräver inte kodningskunskaper. Men du kan inte integrera arbetsböcker med externa data.

Korrelera aviseringar till incidenter med hjälp av analysregler

För att minska bruset och minimera antalet aviseringar som du måste granska och undersöka använder Microsoft Sentinel analys för att korrelera aviseringar till incidenter. Incidenter är grupper av relaterade aviseringar som tillsammans indikerar ett åtgärdsbart hot som du kan undersöka och lösa. Använd de inbyggda korrelationsreglerna som de är eller använd dem som utgångspunkt för att skapa dina egna. Microsoft Sentinel tillhandahåller även maskininlärningsregler för att mappa ditt nätverksbeteende och leta efter avvikelser mellan dina resurser. Dessa analyser ansluter punkterna genom att kombinera aviseringar med låg återgivning om olika entiteter till potentiella säkerhetsincidenter med hög återgivning.

Skärmbild av incidentsidan i Microsoft Sentinel med en lista över öppna incidenter.

Automatisera och samordna vanliga uppgifter med hjälp av spelböcker

Automatisera dina vanliga uppgifter och förenkla säkerhetsorkestreringen med spelböcker som integreras med Azure-tjänster och dina befintliga verktyg.

Microsoft Sentinels automatiserings- och orkestreringslösning ger en mycket utökningsbar arkitektur som möjliggör skalbar automatisering när nya tekniker och hot dyker upp. Om du vill skapa spelböcker med Azure Logic Apps kan du välja från ett ständigt expanderande galleri med många hundratals anslutningsappar för olika tjänster och system. Med dessa anslutningsappar kan du använda anpassad logik i arbetsflödet, till exempel:

  • ServiceNow
  • Jira
  • Zendesk
  • HTTP-begäranden
  • Microsoft Teams
  • Slack
  • Microsoft Entra ID
  • Microsoft Defender för slutpunkter
  • Microsoft Defender för Cloud Apps

Om du till exempel använder ServiceNow-biljettsystemet använder du Azure Logic Apps för att automatisera dina arbetsflöden och öppna ett ärende i ServiceNow varje gång en viss avisering eller incident genereras.

Skärmbild av exempel på automatiserat arbetsflöde i Azure Logic Apps där en incident kan utlösa olika åtgärder.

Spelböcker är avsedda för SOC-tekniker och analytiker på alla nivåer för att automatisera och förenkla uppgifter, inklusive datainmatning, berikande, undersökning och reparation.

Spelböcker fungerar bäst med enkla, repeterbara uppgifter och kräver inte kodningskunskaper. Spelböcker är inte lämpliga för ad hoc- eller komplexa uppgiftskedjor, eller för att dokumentera och dela bevis.

Undersöka omfånget och rotorsaken till säkerhetshot

Med djupundersökningsverktygen i Microsoft Sentinel kan du förstå omfånget och hitta rotorsaken till ett potentiellt säkerhetshot. Du kan välja en entitet i det interaktiva diagrammet för att ställa intressanta frågor för en viss entitet och öka detaljnivån i den entiteten och dess anslutningar för att komma till rotorsaken till hotet.

Skärmbild av en incidentundersökning som visar en entitet och anslutna entiteter i ett interaktivt diagram.

Jaga efter säkerhetshot med hjälp av inbyggda frågor

Använd Microsoft Sentinels kraftfulla sök- och frågeverktyg för jakt, baserat på MITRE-ramverket, som gör att du proaktivt kan söka efter säkerhetshot i organisationens datakällor innan en avisering utlöses. Skapa anpassade identifieringsregler baserat på din jaktfråga. Visa sedan dessa insikter som aviseringar till dina säkerhetsincidenter.

När du jagar skapar du bokmärken för att återgå till intressanta händelser senare. Använd ett bokmärke för att dela en händelse med andra. Eller gruppera händelser med andra korrelerande händelser för att skapa en övertygande incident för undersökning.

Skärmbild av jaktsidan i Microsoft Sentinel som visar en lista över tillgängliga frågor.

Förbättra hotjakten med notebook-filer

Microsoft Sentinel stöder Jupyter-notebook-filer på Azure Machine Learning-arbetsytor, inklusive fullständiga bibliotek för maskininlärning, visualisering och dataanalys.

Använd notebook-filer i Microsoft Sentinel för att utöka omfattningen för vad du kan göra med Microsoft Sentinel-data. Till exempel:

  • Utför analyser som inte är inbyggda i Microsoft Sentinel, till exempel vissa Python-maskininlärningsfunktioner.
  • Skapa datavisualiseringar som inte är inbyggda i Microsoft Sentinel, till exempel anpassade tidslinjer och processträd.
  • Integrera datakällor utanför Microsoft Sentinel, till exempel en lokal datauppsättning.

Skärmbild av en Sentinel-anteckningsbok på en Azure Machine Learning-arbetsyta.

Notebook-filer är avsedda för hotjägare eller nivå 2-3-analytiker, incidentutredare, dataforskare och säkerhetsforskare. De kräver en högre inlärningskurva och kodningskunskap. De har begränsat automationsstöd.

Notebook-filer i Microsoft Sentinel tillhandahåller:

  • Frågor till både Microsoft Sentinel och externa data
  • Funktioner för databerikning, undersökning, visualisering, jakt, maskininlärning och stordataanalys

Notebook-filer passar bäst för:

  • Mer komplexa kedjor av repeterbara uppgifter
  • Ad hoc-procedurkontroller
  • Maskininlärning och anpassad analys

Notebook-filer stöder omfattande Python-bibliotek för att manipulera och visualisera data. De är användbara för att dokumentera och dela analysbevis.

Ladda ned säkerhetsinnehåll från communityn

Microsoft Sentinel-communityn är en kraftfull resurs för hotidentifiering och automatisering. Våra Säkerhetsanalytiker i Microsoft skapar och lägger till nya arbetsböcker, spelböcker, jaktfrågor med mera. De publicerar dessa innehållsobjekt i communityn som du kan använda i din miljö. Ladda ned exempelinnehåll från github-lagringsplatsen för den privata communityn för att skapa anpassade arbetsböcker, jaktfrågor, notebook-filer och spelböcker för Microsoft Sentinel.

Skärmbild av GitHub-lagringsplatsen för Microsoft Sentinel med nedladdningsbart innehåll som jaktfrågor, parsare och spelböcker.

Nästa steg