什麼是 Microsoft Sentinel?

  • 發行項

Microsoft Sentinel 是可調整的雲端原生解決方案,可提供:

  • 安全性資訊及事件管理 (SIEM)
  • 安全性協調流程、自動化和回應 (SOAR)

Microsoft Sentinel 可在整個企業內提供智慧型安全性分析和威脅情報。 透過 Microsoft Sentinel,您可以取得用於攻擊偵測、威脅可見度、主動式搜捕和威脅回應的單一解決方案。

Microsoft Sentinel 是整個企業的鳥眼檢視,可減輕日益複雜攻擊的壓力、增加的警示數量,以及較長的解決時間範圍。

注意

Microsoft Sentinel 會繼承 Azure 監視器 竄改和不變性 做法。 雖然 Azure 監視器是僅限附加的數據平臺,但它包含為了符合規範而刪除數據的布建。

  • 以雲端規模收集內部部署和多個雲端中所有使用者、裝置、應用程式和基礎結構的資料。

  • 使用 Microsoft 的分析與無與倫比的威脅情報,偵測先前未偵測到的威脅,並將 誤判 降到最低。

  • 使用人工智慧調查威脅,並大規模搜捕可疑的活動,深入探究 Microsoft 多年來的網路安全性工作。

  • 使用內建的常見工作協調流程和自動化作業,快速回應事件

Microsoft Sentinel 原生併入經證實的 Azure 服務,例如 Log Analytics 和 Logic Apps。 Microsoft Sentinel 使用 AI 擴充您的調查和偵測。 它提供 Microsoft 的威脅情報串流,並可讓您攜帶自己的威脅情報。

注意

此服務支援 Azure Lighthouse,可讓服務提供者登入其本身的租用戶,以管理客戶所委派的訂用帳戶和資源群組。

使用數據連接器收集數據

若要在 Microsoft Sentinel 上線,您必須先 連線到數據源

Microsoft Sentinel 隨附許多適用於現用 Microsoft 解決方案的連接器,並提供即時整合。 其中一些連接器包括:

  • Microsoft 來源,例如 Microsoft Defender 全面偵測回應、適用於雲端的 Microsoft Defender、Office 365、適用於 IoT 的 Microsoft Defender 等等。

  • Microsoft Entra ID、Azure Activity、Azure 儲存體、Azure 金鑰保存庫、Azure Kubernetes 服務等 Azure 服務來源。

Microsoft Sentinel 具有適用於非 Microsoft 解決方案之更廣泛安全性和應用程式生態系統的內建連接器。 您也可以使用一般事件格式、Syslog 或 REST-API,將數據源與 Microsoft Sentinel 連線。

如需詳細資訊,請參閱下列文章:

Microsoft Sentinel 中數據連接器頁面的螢幕快照,其中顯示可用的連接器清單。

使用活頁簿建立互動式報表

上線至 Microsoft Sentinel 之後,請使用與 Azure 監視器活頁簿整合來監視您的數據。

活頁簿在 Microsoft Sentinel 中的顯示方式與在 Azure 監視器中的顯示方式不同。 但建議您瞭解如何 在 Azure 監視器中建立活頁簿。 Microsoft Sentinel 可讓您跨資料建立自訂活頁簿。 Microsoft Sentinel 也隨附內建的活頁簿範本,可讓您在連接資料來源後立即深入解析整個資料。

Microsoft Sentinel 中活頁簿頁面的螢幕快照,其中包含可用的活頁簿清單。

Workbooks 適用於 SOC 各層級的工程師和分析師,以視覺化方式呈現資料。

活頁簿最適合用於 Microsoft Sentinel 數據的高階檢視,而且不需要撰寫程式代碼知識。 但您無法將活頁簿與外部資料整合。

流量分析規則將警示相互關聯至事件

為了協助您減少雜訊,並將您必須檢閱和調查的警示數目降到最低,Microsoft Sentinel 會使用 分析將警示與事件相互關聯。 事件是相關警示群組,一起指出您可以調查和解決的可採取動作的可能威脅。 依照現狀使用內建的相互關聯規則,或使用其作為建立自有規則的起點。 Microsoft Sentinel 也提供機器學習規則來對應網路行為,然後尋找資源的異常狀況。 這些分析將不同實體相關的低精確度警示,合併成潛在的高精確度安全性事件,以釐清真相。

Microsoft Sentinel 中事件頁面的螢幕快照,其中包含已開啟的事件清單。

使用劇本自動化和協調一般工作

使用將 Azure 服務與現有工具整合的劇本,自動化一般工作並簡化安全性協調流程。

Microsoft Sentinel 的自動化和協調流程解決方案會提供可高度延伸的結構,讓自動化可隨著新技術和威脅的出現而調整。 若要使用 Azure Logic Apps 建置劇本,您可以從不斷擴充的資源庫中選擇,其中包含 數百個適用於各種服務和系統的連接器 。 這些連接器可讓您在工作流程中套用任何自訂邏輯,例如:

  • ServiceNow
  • Jira
  • Zendesk
  • HTTP 要求
  • Microsoft Teams
  • Slack
  • Microsoft Entra ID
  • 適用於端點的 Microsoft Defender
  • Microsoft 雲端 App 安全性

舉例來說,如果您使用 ServiceNow 票證系統,則可使用 Azure Logic Apps 將您的工作流程自動化,並且在每次產生特殊警示或事件時在 ServiceNow 中開啟票證。

Azure Logic Apps 中範例自動化工作流程的螢幕快照,其中事件可以觸發不同的動作。

劇本適用於所有階層的SOC工程師和分析師,以自動化和簡化工作,包括數據擷取、擴充、調查和補救。

劇本最適合使用單一、可重複的工作,而且不需要撰寫程式代碼知識。 劇本不適用於臨機操作或複雜的工作鏈結,或用於記錄和共用辨識項。

調查安全性威脅的範圍和根本原因

Microsoft Sentinel 深入調查 工具可協助您了解範圍,並找出潛在安全性威脅的根本原因。 您可以選擇互動式圖表上的實體來詢問特定實體的有趣問題,並向下切入該實體及其連線,以取得威脅的根本原因。

事件調查的螢幕快照,其中顯示互動式圖表中的實體和已連線的實體。

使用內建查詢搜捕安全性威脅

根據 MITRE 架構,使用 Microsoft Sentinel 的強大 搜捕搜尋和查詢工具,讓您在觸發警示之前,主動搜尋組織數據源的安全性威脅。 根據搜捕查詢建立自訂偵測規則。 接著,以警示的形式將那些見解呈現給安全性事件回應者。

在搜捕時,建立書籤以稍後返回有關的事件。 使用書籤與其他人共用事件。 或者,將事件與其他相互關聯的事件分組,以建立令人信服的調查事件。

Microsoft Sentinel 中搜尋頁面的螢幕快照,其中顯示可用的查詢清單。

使用筆記本增強威脅搜捕

Microsoft Sentinel 支援 Azure Machine Learning 工作區中的 Jupyter 筆記本,包括機器學習、視覺效果和資料分析的完整程式庫。

使用 Microsoft Sentinel 中的筆記本來擴充您可以使用 Microsoft Sentinel 數據執行的動作範圍。 例如:

  • 執行不是 Microsoft Sentinel 內建的分析,例如某些 Python 機器學習功能。
  • 建立未內建至 Microsoft Sentinel 的數據視覺效果,例如自定義時程表和處理樹狀結構。
  • 在 Microsoft Sentinel 外部整合資料來源,例如內部部署資料集。

Azure 機器學習 工作區中 Sentinel 筆記本的螢幕快照。

筆記本適用於威脅獵人或第 2-3 層分析師、事件調查人員、資料科學家和安全性研究人員。 他們需要更高的學習曲線和編碼知識。 其自動化的支援有限。

Microsoft Sentinel 中的筆記本提供:

  • 同時對 Microsoft Sentinel 和外部資料的查詢
  • 資料擴充、調查、視覺效果、搜捕、機器學習和巨量資料分析的功能

筆記本最適合:

  • 更複雜的可重複工作鏈結
  • 臨機操作程序性控制項
  • 機器學習和自訂分析

筆記本支援豐富的 Python 程式庫,以操作和視覺化資料。 它們有助於記錄並共用分析辨識項。

從社群下載安全性內容

Microsoft Sentinel 社群是威脅偵測和自動化的強大資源。 Microsoft 安全性分析師會建立並新增活頁簿、劇本、搜捕查詢等。 他們會將這些內容項目張貼到社群,供您在環境中使用。 從私人社群 GitHub 存放庫 下載範例內容,以建立 Microsoft Sentinel 的自定義活頁簿、搜捕查詢、筆記本和劇本。

Microsoft Sentinel 的 GitHub 存放庫螢幕快照,其中包含可下載的內容,例如搜捕查詢、剖析器和劇本。

下一步