Vad är Microsoft Sentinel?
Microsoft Sentinel är en skalbar, molnbaserad lösning som tillhandahåller:
- Säkerhetsinformations- och händelsehantering (SIEM)
- Säkerhetsorkestrering, automatisering och svar (SOAR)
Microsoft Sentinel levererar intelligent säkerhetsanalys och hotinformation i hela företaget. Med Microsoft Sentinel får du en enda lösning för attackidentifiering, synlighet för hot, proaktiv jakt och hotsvar.
Microsoft Sentinel är din fågelperspektiv i hela företaget som minskar stressen med allt mer avancerade attacker, ökande volymer av aviseringar och långa tidsramar för upplösning.
Kommentar
Microsoft Sentinel ärver metoder för manipulering och oföränderlighet i Azure Monitor. Även om Azure Monitor är en tilläggsbaserad dataplattform innehåller den bestämmelser för att ta bort data i efterlevnadssyfte.
Samla in data i molnskala för alla användare, enheter, program och infrastruktur, både lokalt och i flera moln.
Identifiera tidigare oupptäckta hot och minimera falska positiva identifieringar med hjälp av Microsofts analys och oöverträffad hotinformation.
Undersök hot med artificiell intelligens och jaga misstänkta aktiviteter i stor skala och utnyttja år av cybersäkerhetsarbete på Microsoft.
Svara snabbt på incidenter med inbyggd orkestrering och automatisering av vanliga uppgifter.
Microsoft Sentinel innehåller beprövade Azure-tjänster som Log Analytics och Logic Apps. Microsoft Sentinel berikar din undersökning och identifiering med AI. Den tillhandahåller Microsofts hotinformationsström och gör att du kan använda din egen hotinformation.
Kommentar
Den här tjänsten stöder Azure Lighthouse, som gör att tjänstleverantörer kan logga in på sin egen klientorganisation för att hantera prenumerationer och resursgrupper som kunder har delegerat.
Samla in data med hjälp av dataanslutningar
För att kunna registrera Microsoft Sentinel måste du först ansluta till dina datakällor.
Microsoft Sentinel levereras med många anslutningsappar för Microsoft-lösningar som är tillgängliga direkt och som tillhandahåller realtidsintegrering. Några av dessa anslutningsappar är:
Microsoft-källor som Microsoft Defender XDR, Microsoft Defender för molnet, Office 365, Microsoft Defender för IoT med mera.
Azure-tjänstkällor som Microsoft Entra ID, Azure Activity, Azure Storage, Azure Key Vault, Azure Kubernetes-tjänsten med mera.
Microsoft Sentinel har inbyggda anslutningsappar till de bredare säkerhets- och programekosystemen för lösningar som inte kommer från Microsoft. Du kan också använda vanligt händelseformat, Syslog eller REST-API för att ansluta dina datakällor till Microsoft Sentinel.
Mer information finns i följande artiklar:
Skapa interaktiva rapporter med hjälp av arbetsböcker
När du har registrerat dig för Microsoft Sentinel övervakar du dina data med hjälp av integreringen med Azure Monitor-arbetsböcker.
Arbetsböcker visas annorlunda i Microsoft Sentinel än i Azure Monitor. Men det kan vara bra att se hur du skapar en arbetsbok i Azure Monitor. Med Microsoft Sentinel kan du skapa anpassade arbetsböcker i dina data. Microsoft Sentinel levereras också med inbyggda arbetsboksmallar så att du snabbt kan få insikter över dina data så snart du ansluter en datakälla.
Arbetsböcker är avsedda för SOC-tekniker och analytiker på alla nivåer för att visualisera data.
Arbetsböcker används bäst för övergripande vyer av Microsoft Sentinel-data och kräver inte kodningskunskaper. Men du kan inte integrera arbetsböcker med externa data.
Korrelera aviseringar till incidenter med hjälp av analysregler
För att minska bruset och minimera antalet aviseringar som du måste granska och undersöka använder Microsoft Sentinel analys för att korrelera aviseringar till incidenter. Incidenter är grupper av relaterade aviseringar som tillsammans indikerar ett åtgärdsbart hot som du kan undersöka och lösa. Använd de inbyggda korrelationsreglerna som de är eller använd dem som utgångspunkt för att skapa dina egna. Microsoft Sentinel tillhandahåller även maskininlärningsregler för att mappa ditt nätverksbeteende och leta efter avvikelser mellan dina resurser. Dessa analyser ansluter punkterna genom att kombinera aviseringar med låg återgivning om olika entiteter till potentiella säkerhetsincidenter med hög återgivning.
Automatisera och samordna vanliga uppgifter med hjälp av spelböcker
Automatisera dina vanliga uppgifter och förenkla säkerhetsorkestreringen med spelböcker som integreras med Azure-tjänster och dina befintliga verktyg.
Microsoft Sentinels automatiserings- och orkestreringslösning ger en mycket utökningsbar arkitektur som möjliggör skalbar automatisering när nya tekniker och hot dyker upp. Om du vill skapa spelböcker med Azure Logic Apps kan du välja från ett ständigt expanderande galleri med många hundratals anslutningsappar för olika tjänster och system. Med dessa anslutningsappar kan du använda anpassad logik i arbetsflödet, till exempel:
- ServiceNow
- Jira
- Zendesk
- HTTP-begäranden
- Microsoft Teams
- Slack
- Microsoft Entra ID
- Microsoft Defender för slutpunkter
- Microsoft Defender för Cloud Apps
Om du till exempel använder ServiceNow-biljettsystemet använder du Azure Logic Apps för att automatisera dina arbetsflöden och öppna ett ärende i ServiceNow varje gång en viss avisering eller incident genereras.
Spelböcker är avsedda för SOC-tekniker och analytiker på alla nivåer för att automatisera och förenkla uppgifter, inklusive datainmatning, berikande, undersökning och reparation.
Spelböcker fungerar bäst med enkla, repeterbara uppgifter och kräver inte kodningskunskaper. Spelböcker är inte lämpliga för ad hoc- eller komplexa uppgiftskedjor, eller för att dokumentera och dela bevis.
Undersöka omfånget och rotorsaken till säkerhetshot
Med djupundersökningsverktygen i Microsoft Sentinel kan du förstå omfånget och hitta rotorsaken till ett potentiellt säkerhetshot. Du kan välja en entitet i det interaktiva diagrammet för att ställa intressanta frågor för en viss entitet och öka detaljnivån i den entiteten och dess anslutningar för att komma till rotorsaken till hotet.
Jaga efter säkerhetshot med hjälp av inbyggda frågor
Använd Microsoft Sentinels kraftfulla sök- och frågeverktyg för jakt, baserat på MITRE-ramverket, som gör att du proaktivt kan söka efter säkerhetshot i organisationens datakällor innan en avisering utlöses. Skapa anpassade identifieringsregler baserat på din jaktfråga. Visa sedan dessa insikter som aviseringar till dina säkerhetsincidenter.
När du jagar skapar du bokmärken för att återgå till intressanta händelser senare. Använd ett bokmärke för att dela en händelse med andra. Eller gruppera händelser med andra korrelerande händelser för att skapa en övertygande incident för undersökning.
Förbättra hotjakten med notebook-filer
Microsoft Sentinel stöder Jupyter-notebook-filer på Azure Machine Learning-arbetsytor, inklusive fullständiga bibliotek för maskininlärning, visualisering och dataanalys.
Använd notebook-filer i Microsoft Sentinel för att utöka omfattningen för vad du kan göra med Microsoft Sentinel-data. Till exempel:
- Utför analyser som inte är inbyggda i Microsoft Sentinel, till exempel vissa Python-maskininlärningsfunktioner.
- Skapa datavisualiseringar som inte är inbyggda i Microsoft Sentinel, till exempel anpassade tidslinjer och processträd.
- Integrera datakällor utanför Microsoft Sentinel, till exempel en lokal datauppsättning.
Notebook-filer är avsedda för hotjägare eller nivå 2-3-analytiker, incidentutredare, dataforskare och säkerhetsforskare. De kräver en högre inlärningskurva och kodningskunskap. De har begränsat automationsstöd.
Notebook-filer i Microsoft Sentinel tillhandahåller:
- Frågor till både Microsoft Sentinel och externa data
- Funktioner för databerikning, undersökning, visualisering, jakt, maskininlärning och stordataanalys
Notebook-filer passar bäst för:
- Mer komplexa kedjor av repeterbara uppgifter
- Ad hoc-procedurkontroller
- Maskininlärning och anpassad analys
Notebook-filer stöder omfattande Python-bibliotek för att manipulera och visualisera data. De är användbara för att dokumentera och dela analysbevis.
Ladda ned säkerhetsinnehåll från communityn
Microsoft Sentinel-communityn är en kraftfull resurs för hotidentifiering och automatisering. Våra Säkerhetsanalytiker i Microsoft skapar och lägger till nya arbetsböcker, spelböcker, jaktfrågor med mera. De publicerar dessa innehållsobjekt i communityn som du kan använda i din miljö. Ladda ned exempelinnehåll från github-lagringsplatsen för den privata communityn för att skapa anpassade arbetsböcker, jaktfrågor, notebook-filer och spelböcker för Microsoft Sentinel.
Nästa steg
- För att komma igång med Microsoft Sentinel behöver du en prenumeration på Microsoft Azure. Om du inte har någon prenumeration kan du registrera dig för en kostnadsfri utvärderingsversion.
- Lär dig hur du registrerar dina data i Microsoft Sentinel och får insyn i dina data och potentiella hot.