Microsoft Sentinel 是一款雲端原生的 SIEM 解決方案,能在多雲及多平台環境中提供可擴展且具成本效益的安全保障。 它結合 AI、自動化與威脅情報,支援威脅偵測、調查、應變及主動獵殺。
Microsoft Sentinel SIEM 讓分析師能更快且更精確地預測並阻止跨雲端與平台的攻擊。
本文重點介紹 Microsoft Sentinel 的關鍵功能。
Microsoft Sentinel 繼承咗 Azure Monitor 防篡改同不可變性嘅做法。 雖然 Azure Monitor 是一個僅附加資料的平台,但它包含為合規目的刪除資料的條款。
此服務支援 Azure Lighthouse,讓服務提供者登入自己的租戶,管理客戶委派的訂閱與資源群組。
啟用開箱即用的安全內容
Microsoft Sentinel 提供以 SIEM 解決方案封裝的安全內容,讓您能擷取資料、監控、警示、搜尋、調查、回應,並連接不同產品、平台與服務。
欲了解更多資訊,請參閱「關於 Microsoft Sentinel 內容與解決方案」。
大規模收集資料
收集所有用戶、裝置、應用程式及基礎設施的資料,無論是本地部署還是多雲端。
本表突顯 Microsoft Sentinel 在資料收集上的關鍵功能。
| 功能 | 描述 | 快速入門 |
|---|---|---|
| 開箱即用的資料連接器 | 許多連接器內建 Microsoft Sentinel 的 SIEM 解決方案,並提供即時整合功能。 這些連接器包含 Microsoft 原始碼及 Azure 來源,如 Microsoft Entra ID、Azure Activity、Azure Storage 等。 開箱即用連接器也適用於非 Microsoft 解決方案的更廣泛安全與應用生態系統。 你也可以使用常見事件格式、Syslog 或 REST-API 來將資料來源與 Microsoft Sentinel 連結。 |
Microsoft Sentinel data connectors |
| 客製化連接器 | Microsoft Sentinel 支援從部分來源擷取資料,無需專用連接器。 如果你無法用現有解決方案將資料來源連接到 Microsoft Sentinel,請自行建立資料來源連接器。 | 建立 Microsoft Sentinel 自訂連接器的資源。 |
| 資料正規化 | Microsoft Sentinel 同時使用查詢時間與攝取時間正規化,將不同來源轉換成統一且正規化的視圖。 | 標準化與先進安全資訊模型 (ASIM) |
偵測威脅
利用 Microsoft 的分析與無與倫比的威脅情報,偵測先前未被偵測的威脅,並將誤報降到最低。
本表突顯 Microsoft Sentinel 在威脅偵測上的關鍵能力。
| 容量 | 描述 | 快速入門 |
|---|---|---|
| 分析 | 幫助你降低噪音,減少需要審查和調查的警示數量。 Microsoft Sentinel 利用分析技術將警示歸類於事件中。 直接使用開箱即用的分析規則,或作為起點來建立自己的規則。 Microsoft Sentinel 也提供規則來繪製你的網路行為,並尋找資源中的異常。 這些分析透過結合不同實體的低保真度警示,將潛在的高保真度安全事件串連起來。 | 立即偵測威脅 |
| MITRE ATT&CK 轉播 | Microsoft Sentinel 分析匯入的資料,不僅用來偵測威脅並協助調查,也根據 MITRE ATT&CK® 框架的策略與技術,視覺化您組織安全狀態的性質與覆蓋範圍。 | 了解 MITRE ATT&CK® 框架對安全覆蓋的規定 |
| 威脅情報 | 將多種威脅情報整合進 Microsoft Sentinel,偵測環境中的惡意活動,並為資安調查人員提供背景資訊,協助做出明智的回應決策。 | Microsoft Sentinel 中的威脅情報 |
| 觀察名單 | 將你提供的資料來源(監控清單)與 Microsoft Sentinel 環境中的事件做關聯。 例如,你可以建立一個監控清單,裡面有高價值資產、被解雇員工或服務帳戶的清單。 在搜尋、偵測規則、威脅狩獵和應對手冊中使用監視清單。 | Microsoft Sentinel 中的 Watchlists |
| Workbooks | 利用工作簿製作互動式視覺報告。 Microsoft Sentinel 內建工作簿範本,讓你在連接資料來源後能迅速獲得資料的洞察。 或者,自己製作自訂工作簿。 | 視覺化收集到的資料。 |
調查威脅
使用人工智慧調查威脅,並大規模搜捕可疑活動,立即上手 Microsoft 數年來的網路安全工作。
本表格突顯 Microsoft Sentinel 在威脅調查中的關鍵能力。
| 功能 | 描述 | 快速入門 |
|---|---|---|
| 事件 | Microsoft Sentinel 深度調查工具能幫助您了解範圍並找出潛在安全威脅的根本原因。 你可以在互動圖中選擇一個實體,針對特定實體提出有趣的問題,並深入該實體及其連結,找出威脅的根本原因。 | 在 Microsoft Sentinel 中導航並調查事件 |
| 狩獵 | Microsoft Sentinel 強大的搜尋與查詢工具,基於 MITRE 框架,讓你能在警報觸發前,主動搜尋組織資料來源的安全威脅。 根據你的狩獵查詢建立自訂偵測規則。 接著,將這些洞察以警示形式呈現給你的資安事件應變人員。 | Microsoft Sentinel 中的威脅狩獵 |
| 筆記本 | Microsoft Sentinel 支援 Jupyter 筆記本於 Azure 機器學習工作空間,包含完整的機器學習、視覺化與資料分析函式庫。 在 Microsoft Sentinel 中使用筆記本,擴展你能使用 Microsoft Sentinel 資料的範圍。 例如: - 執行 Microsoft Sentinel 未內建的分析功能,例如部分 Python 機器學習功能。 - 建立 Microsoft Sentinel 未內建的資料視覺化,如自訂時間軸與程序樹。 - 整合 Microsoft Sentinel 以外的資料來源,例如本地資料集。 |
具備 Microsoft Sentinel 搜尋功能的 Jupyter 筆記型電腦 |
迅速回應事件
自動化你常用的任務,並透過整合 Azure 服務及現有工具的 playbook,簡化安全協調。 Microsoft Sentinel 的自動化與協調提供高度可擴展的架構,能隨著新技術與威脅的出現,實現可擴展的自動化。
Microsoft Sentinel 的 Playbook 是基於 Azure Logic Apps 內建的工作流程。 例如,如果你使用 ServiceNow 的工單系統,可以使用 Azure Logic Apps 自動化工作流程,並在每次產生特定警示或事件時在 ServiceNow 中開啟工單。
下表突顯 Microsoft Sentinel 在威脅應對上的關鍵能力。
| 功能 | 描述 | 快速入門 |
|---|---|---|
| 自動化規則 | 透過定義與協調涵蓋不同情境的小型規則,集中管理 Microsoft Sentinel 事件處理的自動化。 | 在 Microsoft Sentinel 中自動化威脅回應,並使用自動化規則 |
| 戰術手冊 | 透過使用劇本(playbooks)來自動化並協調你的威脅回應,這些手冊是一系列修復行動的集合。 當自動化規則觸發特定警示或事件時,按需或自動執行操作手冊。 要用 Azure 邏輯應用程式建立 Playbook,可以從不斷擴充的各種服務與系統連接器中選擇,如 ServiceNow、Jira 等。 這些連接器允許你在工作流程中套用任何自訂邏輯。 |
在 Microsoft Sentinel 中使用 Playbooks 自動化威脅應對 所有 Logic App 連接器列表 |
Microsoft Sentinel in the Azure 入口網站 retirement timeline
Microsoft Sentinel 通常可在 Microsoft Defender 入口網站中取得,包括沒有 Microsoft Defender 全面偵測回應或 E5 授權的客戶。 這表示即使你沒有使用其他 Microsoft Defender 服務,也能在 Defender 入口網站中使用 Microsoft Sentinel。
自 2027 年 3 月 31 日起,Microsoft Sentinel 將不再支援 Azure 入口網站,僅能在 Microsoft Defender 入口網站中使用。
如果您目前在 Azure 入口網站使用 Microsoft Sentinel,建議您現在就開始規劃轉換至 Defender 入口網站,以確保順利過渡並充分利用 Microsoft Defender 所提供的統一安全運營體驗。
如需詳細資訊,請參閱:
- Microsoft Defender 入口網站中的 Microsoft Sentinel
- 將您的 Microsoft Sentinel 環境轉移到 Defender 入口網站
- 規劃您遷移至Microsoft Defender入口網站,Microsoft Sentinel所有客戶 (部落格)
2025 年 7 月起的新客戶變動
為了配合本節所述的變更,新的 Microsoft Sentinel 客戶是指正在將租戶中第一個工作空間導入 Microsoft Sentinel 的客戶。
自 2025 年 7 月起,這些同時擁有訂閱擁有者或使用者存取管理員權限,且非 Azure Lighthouse 授權用戶的新客戶,其工作空間會自動接入 Defender 入口網站,並同步導入 Microsoft Sentinel。
這些工作空間的使用者,且非 Azure Lighthouse 授權的使用者,Azure 入口網站中Microsoft Sentinel連結會將他們重新導向至 Defender 入口網站。
例如:
這類使用者僅在 Defender 入口中使用 Microsoft Sentinel。
沒有相關權限的新客戶不會自動被導入 Defender 入口網站,但他們仍會在 Azure 入口網站看到重定向連結,並會提示讓擁有相關權限的使用者手動上線工作區至 Defender 入口網站。
下表總結了這些經驗:
| 客戶類型 | 體驗 |
|---|---|
| 現有客戶在已有 Microsoft Sentinel 工作區啟用的租戶中建立新工作區 | 工作區不會自動上線,使用者也看不到重定向連結 |
| Azure Lighthouse 委託使用者在任何租戶中建立新工作空間 | 工作區不會自動上線,使用者也看不到重定向連結 |
| 新客戶在其租戶中首次導入 Microsoft Sentinel 工作空間 |
-
擁有所需權限的使用者 ,其工作區會自動被接入。 其他此類工作空間使用者則會在 Azure 入口網站中看到導向連結。 - 沒有必要權限的使用者 ,他們的工作空間不會自動被啟動。 所有此類工作區的使用者都會在 Azure 入口網站看到重定向連結,且擁有必要權限的使用者必須將工作區接入至 Defender 入口網站。 |