Поделиться через


Что такое Microsoft Sentinel?

Microsoft Sentinel — это масштабируемая, облачная информация о безопасности и управление событиями (SIEM), которая предоставляет интеллектуальное и комплексное решение для siEM и оркестрации безопасности, автоматизации и реагирования (SOAR). Microsoft Sentinel обеспечивает обнаружение, расследование, реагирование и упреждающее охоту, с видом на птицу на вашем предприятии.

Microsoft Sentinel также изначально включает проверенные службы Azure, такие как Log Analytics и Logic Apps, и обогащает исследование и обнаружение с помощью искусственного интеллекта. Он использует как поток аналитики угроз Майкрософт, так и позволяет выполнять собственную аналитику угроз.

Используйте Microsoft Sentinel, чтобы облегчить стресс все более сложных атак, увеличение объема оповещений и длительные интервалы времени разрешения. В этой статье описаны основные возможности Microsoft Sentinel.

Microsoft Sentinel наследует методы защиты от подделки и неизменяемости Azure Monitor. Хотя Azure Monitor является платформой данных только для добавления, она включает в себя положения для удаления данных в целях соответствия требованиям.

Эта служба поддерживает Azure Lighthouse, которая позволяет поставщикам служб входить в собственный клиент для управления подписками и группами ресурсов, делегированными клиентами.

Включение содержимого безопасности из поля

Microsoft Sentinel предоставляет содержимое безопасности, упаковаемое в решения SIEM, которое позволяет получать данные, отслеживать, оповещать, охотиться, исследовать, отвечать и подключаться к различным продуктам, платформам и службам.

Дополнительные сведения см. в разделе о содержимом и решениях Microsoft Sentinel.

Сбор данных в большом масштабе

Собирайте данные по всем пользователям, устройствам, приложениям и инфраструктуре как локально, так и из нескольких облаков.

В следующей таблице выделены ключевые возможности в Microsoft Sentinel для сбора данных.

Возможность Описание Начало работы
Соединители данных из поля Многие соединители упаковываются с помощью решений SIEM для Microsoft Sentinel и обеспечивают интеграцию в режиме реального времени. Эти соединители включают в себя источники Майкрософт и источники Azure, такие как Microsoft Entra ID, журнал действий Azure, служба хранилища Azure и многое другое.

Также предусмотрены готовые соединители данных для более широких экосистем безопасности и приложений для решений, отличных от решений Microsoft. Кроме того, чтобы подключить источники данных к Microsoft Sentinel, вы можете использовать общий формат событий, Syslog или REST-API.
Соединители данных Microsoft Sentinel
Настраиваемые соединители Microsoft Sentinel поддерживает прием данных из некоторых источников без выделенного соединителя. Если вы не можете подключить источник данных к Microsoft Sentinel с помощью существующего решения, создайте собственный соединитель источника данных. Ресурсы для создания пользовательских соединителей Microsoft Sentinel.
Нормализация данных Microsoft Sentinel использует нормализацию времени запроса и приема для преобразования различных источников в единое, нормализованное представление. Нормализация и расширенная информационная модель безопасности (ASIM)

Обнаружение угроз

Выявляйте угрозы, которые ранее не удавалось обнаружить, и уменьшайте количество ложных срабатываний с помощью решений для анализа и не имеющих аналогов средств аналитики угроз от Майкрософт.

В следующей таблице перечислены ключевые возможности в Microsoft Sentinel для обнаружения угроз.

Вместимость Описание Начало работы
Аналитика Помогает снизить шум и свести к минимуму количество оповещений, которые необходимо проверить и исследовать. Microsoft Sentinel использует аналитику для группирования оповещений в инциденты. Используйте готовые аналитические правила как есть или в качестве отправной точки для создания собственных правил. Кроме того, Microsoft Sentinel предоставляет правила для сопоставления поведения сети и поиска аномалий в ваших ресурсах. Эта аналитика соединяет точки, путем объединения оповещений с низкой достоверностью о различных объектах в потенциальные инциденты безопасности с высокой достоверностью. Готовое решение для обнаружения угроз
Покрытие MITRE ATT&CK Microsoft Sentinel анализирует полученные данные не только для обнаружения угроз и изучения, но и для визуализации характера и охвата состояния безопасности вашей организации на основе тактики и методов платформы MITRE ATT&CK®. Общие сведения о безопасности платформы MITRE ATT&CK®
Аналитика угроз Интегрируйте многочисленные источники аналитики угроз в Microsoft Sentinel для обнаружения вредоносных действий в вашей среде и предоставления контекста следователям безопасности для обоснованных решений реагирования. Аналитика угроз в Microsoft Sentinel
Списки отслеживания Сопоставляйте данные из предоставленного источника данных, списка наблюдения с событиями в среде Microsoft Sentinel. Например, вы можете создать список видео к просмотру, содержащий ценные ресурсы, уволенных сотрудников или учетные записи служб в вашей среде. Используйте списки видео к просмотру при поиске, в правилах обнаружения, при охоте на угрозы и в сборниках схем ответов. Списки наблюдения в Microsoft Sentinel
Учебные тетради Создание интерактивных визуальных отчетов с помощью книг. Microsoft Sentinel поставляется со встроенными шаблонами книг, которые позволяют быстро получать аналитические сведения о данных сразу после подключения к источнику данных. Или создайте собственные пользовательские книги. Визуализация собранных данных.

Изучение угроз безопасности

Исследуйте угрозы с помощью искусственного интеллекта и выявляйте подозрительные действия в любом масштабе, воспользовавшись преимуществами решений Майкрософт, разработанными на основе многолетнего опыта в сфере кибербезопасности.

Снимок экрана расследования инцидента, показывающий сущность и связанные сущности в интерактивной схеме.

В следующей таблице перечислены ключевые возможности в Microsoft Sentinel для исследования угроз.

Возможность Описание Начало работы
Инциденты Средства глубокого исследования Microsoft Sentinel помогут вам распознать область и найти первопричину потенциальной угрозы безопасности. Вы можете выбрать объект на интерактивной диаграмме, чтобы задать интересные вопросы касательно конкретного объекта, и детализировать этот объект и его связи, чтобы найти первопричину угрозы. Навигация и исследование инцидентов в Microsoft Sentinel
Охотится Мощные средства поиска и запросов Microsoft Sentinel на основе платформы MITRE позволяют заранее охотиться на угрозы безопасности в источниках данных вашей организации, прежде чем будет активировано оповещение. Создайте настраиваемые правила обнаружения на основе запроса поиска. Затем внесите эти сведения в качестве оповещений в отвечающие устройства. Поиск угроз в Microsoft Sentinel
Записные книжки Microsoft Sentinel поддерживает записные книжки Jupyter в рабочих областях Машинного обучения Azure, включая полные библиотеки для машинного обучения, визуализации и анализа данных.

Записные книжки в Microsoft Sentinel расширяют возможности использования данных Microsoft Sentinel. Например:

— выполните аналитику, которая не встроена в Microsoft Sentinel, например некоторые функции машинного обучения Python.
— создание визуализаций данных, которые не встроены в Microsoft Sentinel, например пользовательские временные шкалы и деревья процессов.
— интегрируйте источники данных за пределами Microsoft Sentinel, например локальный набор данных.
Записные книжки Jupyter с возможностями для поиска угроз Microsoft Sentinel

Быстрое реагирование на инциденты.

Автоматизируйте свои общие задачи и упростите оркестрацию безопасности с помощью сборников схем, которые интегрируются со службами Azure, а также с вашими существующими средствами. Автоматизация и оркестрация Microsoft Sentinel обеспечивает высоко расширяемую архитектуру, которая обеспечивает масштабируемую автоматизацию по мере появления новых технологий и угроз.

Сборники схем в Microsoft Sentinel основаны на рабочих процессах в Azure Logic Apps. Например, если вы пользуетесь системой отправки запросов ServiceNow, используйте Azure Logic Apps, чтобы автоматизировать ваши рабочие процессы и отправлять запросы в ServiceNow при формировании каждого оповещения или инцидента.

Снимок экрана: пример автоматизированного рабочего процесса в Azure Logic Apps, где инцидент может активировать различные действия.

В следующей таблице перечислены ключевые возможности в Microsoft Sentinel для реагирования на угрозы.

Возможность Описание Начало работы
Правила автоматизации Централизованное управление автоматизацией обработки инцидентов в Microsoft Sentinel путем определения и координации небольшого набора правил, охватывающих различные сценарии. Автоматизация реагирования на угрозы в Microsoft Sentinel с помощью правил автоматизации
Сборники схем Автоматизация и оркестрация ответа на угрозы с помощью сборников схем, которые являются коллекцией действий по исправлению. Сборники схем могут быть запущены по требованию или автоматически в ответ на определенные оповещения или инциденты при срабатывании правила автоматизации.

Чтобы создать сборники схем с помощью Azure Logic Apps, выберите из постоянно расширяющейся коллекции соединителей для различных служб и систем, таких как ServiceNow, Jira и многое другое. Эти соединители позволяют применять любую пользовательскую логику в рабочем процессе.
Автоматизация реагирования на угрозы с помощью сборников схем в Microsoft Sentinel

Список всех коннекторов Logic Apps

Microsoft Sentinel на временной шкале прекращения использования в портале Azure

Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5. Это означает, что вы можете использовать Microsoft Sentinel на портале Defender, даже если вы не используете другие службы Microsoft Defender.

Начиная с июля 2026 года Microsoft Sentinel будет поддерживаться только на портале Defender, и все остальные клиенты, использующие портал Azure, будут автоматически перенаправлены.

Если вы используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender, чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.

Дополнительные сведения можно найти здесь