Что такое Microsoft Sentinel?
Microsoft Sentinel — это масштабируемая, облачная информация о безопасности и управление событиями (SIEM), которая предоставляет интеллектуальное и комплексное решение для siEM и оркестрации безопасности, автоматизации и реагирования (SOAR). Microsoft Sentinel обеспечивает обнаружение, расследование, реагирование и упреждающее охоту, с видом на птицу на вашем предприятии.
Microsoft Sentinel также изначально включает проверенные службы Azure, такие как Log Analytics и Logic Apps, и обогащает исследование и обнаружение с помощью искусственного интеллекта. Он использует как поток аналитики угроз Майкрософт, так и позволяет выполнять собственную аналитику угроз.
Используйте Microsoft Sentinel, чтобы облегчить стресс все более сложных атак, увеличение объема оповещений и длительные интервалы времени разрешения. В этой статье описаны основные возможности Microsoft Sentinel.
Внимание
Microsoft Sentinel теперь общедоступен на платформе унифицированных операций безопасности Майкрософт на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Microsoft Sentinel наследует методы проверки правописания и неизменяемости Azure Monitor. Хотя Azure Monitor является платформой данных только для добавления, она включает в себя положения для удаления данных в целях соответствия требованиям.
Эта служба поддерживает Azure Lighthouse, что позволяет поставщикам услуг входить в собственный арендатор для управления подписками и группами ресурсов, которые делегируют клиенты.
Включение содержимого безопасности из поля
Microsoft Sentinel предоставляет содержимое безопасности, упаковаемое в решения SIEM, которое позволяет получать данные, отслеживать, оповещать, охотиться, исследовать, отвечать и подключаться к различным продуктам, платформам и службам.
Дополнительные сведения см. в статье О содержимом и решениях Microsoft Sentinel.
Сбор данных в большом масштабе
Собирайте данные по всем пользователям, устройствам, приложениям и инфраструктуре как локально, так и из нескольких облаков.
В следующей таблице выделены ключевые возможности в Microsoft Sentinel для сбора данных.
Возможность | Description | Начало работы |
---|---|---|
Соединители данных из поля | Многие соединители упаковываются с помощью решений SIEM для Microsoft Sentinel и обеспечивают интеграцию в режиме реального времени. Эти соединители включают в себя источники Майкрософт и источники Azure, такие как Microsoft Entra ID, журнал действий Azure, служба хранилища Azure и многое другое. Также предусмотрены готовые соединители данных для более широких экосистем безопасности и приложений для решений, отличных от решений Microsoft. Кроме того, чтобы подключить источники данных к Microsoft Sentinel, вы можете использовать общий формат событий, Syslog или REST-API. |
Соединители данных Microsoft Sentinel |
Настраиваемые соединители | Microsoft Sentinel поддерживает прием данных из некоторых источников без выделенного соединителя. Если вы не можете подключить источник данных к Microsoft Sentinel с помощью существующего решения, создайте собственный соединитель источника данных. | Ресурсы для создания пользовательских соединителей Microsoft Sentinel. |
Нормализация данных | Microsoft Sentinel использует нормализацию времени запроса и приема для преобразования различных источников в единое, нормализованное представление. | Нормализация и расширенная информационная модель безопасности (ASIM) |
Обнаружение угроз
Выявляйте угрозы, которые ранее не удавалось обнаружить, и уменьшайте количество ложных срабатываний с помощью решений для анализа и не имеющих аналогов средств аналитики угроз от Майкрософт.
В следующей таблице перечислены ключевые возможности в Microsoft Sentinel для обнаружения угроз.
Capacity | Description | Начало работы |
---|---|---|
Аналитика | Помогает снизить шум и свести к минимуму количество оповещений, которые необходимо проверить и исследовать. Microsoft Sentinel использует аналитику для группирования оповещений в инциденты. Используйте готовые аналитические правила как есть или в качестве отправной точки для создания собственных правил. Кроме того, Microsoft Sentinel предоставляет правила для сопоставления поведения сети и поиска аномалий в ваших ресурсах. Эта аналитика соединяет точки, путем объединения оповещений с низкой достоверностью о различных объектах в потенциальные инциденты безопасности с высокой достоверностью. | Встроенное обнаружение угроз |
Покрытие MITRE ATT&CK | Microsoft Sentinel анализирует полученные данные не только для обнаружения угроз и изучения, но и для визуализации характера и охвата состояния безопасности вашей организации на основе тактики и методов платформы MITRE ATT&CK®. | Общие сведения о безопасности платформы MITRE ATT&CK® |
Аналитика угроз | Интегрируйте многочисленные источники аналитики угроз в Microsoft Sentinel для обнаружения вредоносных действий в вашей среде и предоставления контекста следователям безопасности для обоснованных решений реагирования. | Аналитика угроз в Microsoft Sentinel |
Списки отслеживания | Сопоставляйте данные из предоставленного источника данных, списка наблюдения с событиями в среде Microsoft Sentinel. Например, вы можете создать список видео к просмотру, содержащий ценные ресурсы, уволенных сотрудников или учетные записи служб в вашей среде. Используйте списки видео к просмотру при поиске, в правилах обнаружения, при охоте на угрозы и в сборниках схем ответов. | Списки наблюдения в Microsoft Sentinel |
Workbooks | Создание интерактивных визуальных отчетов с помощью книг. Microsoft Sentinel поставляется со встроенными шаблонами книг, которые позволяют быстро получать аналитические сведения о данных сразу после подключения к источнику данных. Или создайте собственные пользовательские книги. | Визуализация собранных данных. |
Изучение угроз безопасности
Исследуйте угрозы с помощью искусственного интеллекта и выявляйте подозрительные действия в любом масштабе, воспользовавшись преимуществами решений Майкрософт, разработанными на основе многолетнего опыта в сфере кибербезопасности.
В следующей таблице перечислены ключевые возможности в Microsoft Sentinel для исследования угроз.
Возможность | Description | Начало работы |
---|---|---|
Инциденты | Средства глубокого исследования Microsoft Sentinel помогут вам распознать область и найти первопричину потенциальной угрозы безопасности. Вы можете выбрать объект на интерактивной диаграмме, чтобы задать интересные вопросы касательно конкретного объекта, и детализировать этот объект и его связи, чтобы найти первопричину угрозы. | Навигация и исследование инцидентов в Microsoft Sentinel |
Hunts | Мощные средства поиска и запросов Microsoft Sentinel на основе платформы MITRE позволяют заранее охотиться на угрозы безопасности в источниках данных вашей организации, прежде чем будет активировано оповещение. Создайте настраиваемые правила обнаружения на основе запроса поиска. Затем внесите эти сведения в качестве оповещений в отвечающие устройства. | Поиск угроз в Microsoft Sentinel |
Записные книжки | Microsoft Sentinel поддерживает записные книжки Jupyter в рабочих областях Машинного обучения Azure, включая полные библиотеки для машинного обучения, визуализации и анализа данных. Записные книжки в Microsoft Sentinel расширяют возможности использования данных Microsoft Sentinel. Например: — выполните аналитику, которая не встроена в Microsoft Sentinel, например некоторые функции машинного обучения Python. — создание визуализаций данных, которые не встроены в Microsoft Sentinel, например пользовательские временные шкалы и деревья процессов. — интегрируйте источники данных за пределами Microsoft Sentinel, например локальный набор данных. |
Записные книжки Jupyter с возможностями охоты Microsoft Sentinel |
Быстрое реагирование на инциденты.
Автоматизируйте свои общие задачи и упростите оркестрацию безопасности с помощью сборников схем, которые интегрируются со службами Azure, а также с вашими существующими средствами. Автоматизация и оркестрация Microsoft Sentinel обеспечивает высоко расширяемую архитектуру, которая обеспечивает масштабируемую автоматизацию по мере появления новых технологий и угроз.
Сборники схем в Microsoft Sentinel основаны на рабочих процессах в Azure Logic Apps. Например, если вы пользуетесь системой отправки запросов ServiceNow, используйте Azure Logic Apps, чтобы автоматизировать ваши рабочие процессы и отправлять запросы в ServiceNow при формировании каждого оповещения или инцидента.
В следующей таблице перечислены ключевые возможности в Microsoft Sentinel для реагирования на угрозы.
Возможность | Description | Начало работы |
---|---|---|
Правила автоматизации | Централизованное управление автоматизацией обработки инцидентов в Microsoft Sentinel путем определения и координации небольшого набора правил, охватывающих различные сценарии. | Автоматизация реагирования на угрозы в Microsoft Sentinel с помощью правил автоматизации |
Сборники схем | Автоматизация и оркестрация ответа на угрозы с помощью сборников схем, которые являются коллекцией действий по исправлению. Сборники схем могут быть запущены по требованию или автоматически в ответ на определенные оповещения или инциденты при срабатывании правила автоматизации. Чтобы создать сборники схем с помощью Azure Logic Apps, выберите из постоянно расширяющейся коллекции соединителей для различных служб и систем, таких как ServiceNow, Jira и многое другое. Эти соединители позволяют применять любую пользовательскую логику в рабочем процессе. |
Автоматизация реагирования на угрозы с помощью сборников схем в Microsoft Sentinel Список всех соединитель приложений логики |