什么是 Microsoft Sentinel?
首先来了解几个定义,看一下安全信息和事件管理 (SIEM) 系统以及 Microsoft Sentinel。
什么是安全信息和事件管理 (SIEM)?
SIEM 系统是供组织用来在其计算机系统上收集、分析和执行安全操作的工具。 这些系统可以是硬件设备和/或应用程序。
最简单来说,SIEM 系统可便于:
- 收集和查询日志。
- 执行某种形式的关联或异常情况检测。
- 根据你发现的结果创建警报和事件。
SIEM 系统可提供如下功能:
日志管理:能够从环境中的资源收集、存储和查询日志数据。
警报:主动检查日志数据中是否有潜在的安全事件和异常情况。
可视化效果:提供有关日志数据的可视化见解的图和仪表板。
事件管理:能够创建、更新、分配和调查已识别的事件。
查询数据:一种丰富的查询语言,类似于用于日志管理的语言,可用来查询和理解数据。
什么是 Microsoft Sentinel?
Microsoft Sentinel 是云原生的 SIEM 系统,安全操作团队可用来:
- 收集来自几乎任何来源的数据,跨整个企业获取安全见解。
- 使用内置的机器学习和 Microsoft 威胁情报来快速检测和调查威胁。
- 通过使用 playbook 并集成 Azure 逻辑应用来自动响应威胁。
与传统的 SIEM 解决方案不同,无需在本地或云中安装任何服务器,即可运行 Microsoft Sentinel。 Microsoft Sentinel 是在 Azure 中部署的服务。 在 Azure 门户中,只需几分钟即可启动并运行 Sentinel。
Microsoft Sentinel 与其他云服务紧密集成。 你不仅可以快速引入日志,还可以在本机使用其他云服务(例如,授权和自动化)。
Microsoft Sentinel 有助于启用端到端安全操作,包括收集、检测、调查和响应:
接下来,让我们来看看 Microsoft Sentinel 的关键组件。