متى تستخدم Microsoft Sentinel
Microsoft Sentinel هو حل يستخدم لتنفيذ عمليات الأمان على السحابة والبيئات الداخلية.
استخدم Microsoft Sentinel إذا كنت تريد:
- جمع بيانات الحدث من مصادر مختلفة.
- تنفيذ عمليات أمان على تلك البيانات لتحديد النشاط المريب.
يمكن أن تشمل عمليات الأمان ما يلي:
- تصور بيانات السجل
- اكتشاف الشذوذ
- تتبع المخاطر
- التحقيق في أحداث الأمان
- الاستجابة التلقائية للتنبيهات والحوادث
يوفّر Microsoft Sentinel إمكانيات أخرى يمكن أن تساعدك على تحديد إذا ما كانت مناسبة لك:
- SIEM السحابي الأصلي: مع عدم وجود خوادم لتوفيرها، يكون التحجيم دون عناء
- التكامل مع خدمة Azure Logic Apps ومئات الموصلات الخاصة بها
- فوائد البحث والتعلم الآلي من Microsoft
- مصادر السجل الرئيسية المقدمة مجانا
- دعم السحابة المختلطة والبيئات المحلية
- SIEM وبحيرة بيانات كلها في واحد
عندما بدأت في التحقيق في Microsoft Sentinel، كان لدى مؤسستك بعض المتطلبات الواضحة:
- دعم البيانات من بيئات سحابية متعددة
- الميزات والوظائف المطلوبة لمركز عمليات الأمان (SOC)، دون الكثير من النفقات الإدارية
لقد وجدت أن Microsoft Sentinel قد يكون الحل المناسب. فهو يوفر موصلات البيانات لـ syslog وAmazon Web Services (AWS) ومصادر أخرى، وكذلك القدرة على التحجيم دون بذل جهد دون توفير الخوادم. أثناء التحليل، أدركت أيضًا أن مؤسستك يجب أن تجعل الأتمتة جزءًا أساسيًا من استراتيجية SOC المتبعة لديها. لم تكن التلقائية أمرًا فكرت فيه المؤسسة من قبل، لكن الآن ستفكر في استخدام دلائل مبادئ التلقائية.
إذا كنت تعمل على تجميع سجلات البنية الأساسية أو التطبيق لمراقبة الأداء، فيمكنك أيضًا وضع استخدام Azure Monitor وLog Analytics في الاعتبار لهذا الغرض.
وربما كنت تريد أن تفهم الوضع الأمني لبيئتك، تأكد من أنك متوافق مع النهج، والتحقق من وجود حالات التكوين غير الصحيح للأمان. إذا كان الأمر كذلك، ففكر أيضًا في استخدام Microsoft Defender للسحابة. يمكنك استيعاب Defender للتنبيهات السحابية كموصل بيانات لـ Microsoft Sentinel.