什麼是 Microsoft Sentinel?
讓我們從幾個定義開始,並了解「安全性資訊與事件管理」(SIEM) 系統和 Microsoft Sentinel。
什麼是安全性資訊與事件管理 (SIEM)?
SIEM 系統是組織用來在其電腦系統上收集、分析及執行安全性作業的工具。 那些系統可以是硬體設備、應用程式,或兩者皆是。
在 SIEM 系統最簡單的形式中,它可讓您:
- 收集及查詢記錄。
- 執行某種形式的相互關聯或異常偵測。
- 根據您的調查結果建立警示與事件。
SIEM 系統可能會提供如下功能:
記錄管理:收集、儲存和從環境內資源查詢記錄資料的能力。
警示:主動查看記錄資料,以尋找潛在的安全性事件與異常。
視覺效果:可針對記錄資料提供視覺見解的圖表與儀表板。
事件管理:建立、更新、指派及調查已識別之事件的能力。
查詢資料:可用來查詢並了解資料的豐富查詢語言 (類似用於記錄管理的語言)。
什麼是 Microsoft Sentinel?
Microsoft Sentinel 是一種雲端原生的 SIEM 系統,可供安全性作業小組用來:
- 透過從幾乎任何來源收集資料,以跨企業取得安全性見解。
- 使用內建的機器學習與 Microsoft 威脅情報來快速偵測及調查威脅。
- 使用劇本和與 Azure Logic Apps 的整合將威脅回應自動化。
與傳統 SIEM 解決方案不同,您並不需要在內部部署或雲端中安裝任何伺服器,即可執行 Microsoft Sentinel。 Microsoft Sentinel 是部署在 Azure 中的服務。 您在 Azure 入口網站中僅需要花費數分鐘,即可設定及執行 Sentinel。
Microsoft Sentinel 與其他雲端服務緊密整合。 您不僅可以迅速地內嵌記錄,也能以原生方式使用其他雲端服務 (例如授權與自動化)。
Microsoft Sentinel 可協助您啟用端對端的安全性作業,包括收集、偵測、調查及回應:
讓我們查看 Microsoft Sentinel 中的主要元件。