使用 Microsoft Sentinel 的時機
Microsoft Sentinel 是針對您的雲端與內部部署環境執行安全性作業的解決方案。
您可以針對下列需求使用 Microsoft Sentinel:
- 收集來自各種來源的事件資料。
- 對該資料執行安全性作業以識別可疑活動。
安全性作業可能包括:
- 記錄資料的視覺化呈現
- 異常偵測
- 威脅搜尋
- 安全性事件調查
- 自動回應警示與事件
Microsoft Sentinel 提供其他功能,可協助您決定其是否適合您:
- 雲端原生 SIEM: 沒有要佈建的伺服器,調整毫不費力
- 與 Azure Logic Apps 服務及其數以百計的連接器整合
- 來自 Microsoft 研究和機器學習的優點
- 免費提供關鍵記錄來源
- 支援混合式雲端與內部部署環境
- SIEM 和資料湖一應俱全
當您開始調查 Microsoft Sentinel 時,貴組織有一些明確的需求:
- 支援多個雲端環境中的資料
- 安全性作業中心 (SOC) 所需的特性與功能,而且不能有太多系統管理額外負荷
您發現 Microsoft Sentinel 可能相當適合。 其能提供適用於 syslog、Amazon Web Services (AWS) 與其他來源的資料連接器,且能在無需佈建伺服器的情況下輕鬆擴縮。 在您的分析期間,您也發現組織應該使自動化成為其 SOC 策略的重要部分。 組織先前並未考慮過自動化,但現在您將會探索如何使用自動化劇本。
如果您正在收集基礎結構或應用程式記錄檔以進行效能監視,建議同時考慮使用 Azure 監視器與 Log Analytics 來達到該目的。
您可能也想了解環境的安全性狀態、確保您符合原則規範,並檢查安全性是否設定錯誤。 若是如此,請考慮也使用適用於雲端的 Microsoft Defender。 您可以內嵌適用於雲端的 Defender 警示做為 Microsoft Sentinel 的資料連線器。