何时使用 Microsoft Sentinel
Microsoft Sentinel 是一种用于在云和本地环境中执行安全操作的解决方案。
如果要执行以下操作,请使用 Microsoft Sentinel:
- 从各种源收集事件数据。
- 对此数据执行安全操作来识别可疑活动。
安全操作可能包括:
- 日志数据的可视化效果
- 异常检测
- 威胁搜寻
- 安全事件调查
- 自动响应警报和事件
Microsoft Sentinel 还提供了其他功能,可以帮助你决定它是否适合你:
- 云原生 SIEM:无需预配任何服务器,可轻松缩放
- 集成了 Azure 逻辑应用服务及其数百个连接器
- 可受益于 Microsoft 搜索和机器学习
- 免费提供的关键日志源
- 支持混合云和本地环境
- SIEM 和数据湖一体化
当你开始研究 Microsoft Sentinel 时,你的组织有一些明确的要求:
- 支持来自多个云环境的数据
- 具备安全操作中心 (SOC) 所需的特性和功能,没有太高的管理开销
你已经发现,Microsoft Sentinel 可能是不错的选择。 它为 syslog、Amazon Web Services (AWS) 和其他源提供了数据连接器,让你能够在不预配服务器的情况下轻松进行缩放。 在分析过程中,你还意识到,你的组织应将自动化作为其 SOC 策略的一个关键部分。 自动化以前并没有被组织考虑过,但现在你将研究如何使用自动化 playbook。
若要收集基础结构或应用程序日志来监视性能,也可以考虑使用 Azure Monitor 和 Log Analytics 来实现此目的。
另外,你也可能想要了解环境的安全态势,请确保遵循策略,并检查是否有错误的安全配置。 如果是这样,也请考虑使用 Microsoft Defender for Cloud。 可以将 Defender for Cloud 警报引入为 Microsoft Sentinel 的数据连接器。