Co je Microsoft Sentinel?

Microsoft Sentinel je škálovatelné řešení pro správu akcí informací o zabezpečení (SIEM) a orchestraci zabezpečení (SOAR) nativní pro cloud. Microsoft Sentinel poskytuje inteligentní analýzy zabezpečení a analýzu hrozeb v rámci celého podniku a poskytuje jediné řešení pro detekci výstrah, viditelnost hrozeb, proaktivní vyhledávání a reakci na hrozby.

Microsoft Sentinel je váš pohled z ptačí části napříč podnikem, který zmírní tlak na stále důmyslnější útoky, zvyšující se objemy výstrah a dlouhé časové rámce řešení.

• Shromažďování dat v cloudovém měřítku napříč všemi uživateli, zařízeními, aplikacemi a infrastrukturou, a to jak místně, tak i v několika cloudech.

• Detekce dříve nezjišťovaných hrozeb a minimalizace falešně pozitivních výsledků s využitím analýz a nesnází analýzy hrozeb od Microsoftu

• Prošetřování hrozeb umělou inteligencí a proašetřování podezřelých aktivit ve velkém měřítku a využití mnoha let práce na kybernetické bezpečnosti v Microsoftu

• Rychlé reakce na incidenty s integrovanou orchestrací a automatizací běžných úloh

Microsoft Sentinel staví na celé škále stávajících služeb Azure a nativně zahrnuje osvědčené základy, jako je Log Analytics a Logic Apps. Microsoft Sentinel obohacuje vaše vyšetřování a detekci pomocí umělé inteligence a poskytuje stream inteligentních informací o hrozbách od Microsoftu a umožňuje vám přinést si vlastní informace o hrozbách.

Připojení ke všem datům

Pokud chcete připojit Microsoft Sentinel, musíte se nejprve připojit ke zdrojům zabezpečení.

Microsoft Sentinel obsahuje řadu konektorů pro řešení Microsoftu, které jsou k dispozici v reálném čase a poskytují integraci v reálném čase, včetně řešení Microsoft 365 Defender (dříve Microsoft Threat Protection) a Microsoft 365 zdrojů, včetně Office 365 , Azure AD, Microsoft Defender for Identity (dříve Azure ATP) a Microsoft Defender for Cloud Apps a další. Kromě toho jsou k dispozici integrované konektory pro širší ekosystém zabezpečení pro řešení od jiných společností než Microsoft. K propojení zdrojů dat se službou Microsoft Sentinel můžete také použít běžný formát událostí, Syslog nebo REST-API.

Další informace najdete v tématu Vyhledání datového konektoru.

Workbooks

Po připojení zdrojů dat ke službě Microsoft Sentinel můžete data monitorovat pomocí integrace služby Microsoft Sentinel se službou Azure Monitor Workbooks, která poskytuje všestrannost při vytváření vlastních sešitů.

Sešity se v Microsoft Sentinelu zobrazují různě,ale může být užitečné podívat se, jak vytvářet interaktivní sestavy pomocí Azure Monitor Workbooks . Microsoft Sentinel umožňuje vytvářet vlastní sešity napříč daty a také obsahuje integrované šablony sešitů, které vám umožní rychle získat přehled o datech, jakmile připojíte zdroj dat.

• Sešity jsou určené pro techniky SOC a analytiky všech úrovní k vizualizaci dat.

• Sešity se sice nejlépe používají pro zobrazení dat Microsoft Sentinelu na vysoké úrovni a nevyžadují žádné znalosti kódování, ale sešity nemůžete integrovat s externími daty.

Analýzy

Microsoft Sentinel používá k korelaci výstrah s incidenty analýzu, která vám pomůže snížit šum a minimalizovat počet výstrah, které musíte zkontrolovat a prošetřit. Incidenty jsou skupiny souvisejících výstrah, které společně vytvářejí možnou hrozbu, kterou můžete prozkoumat a vyřešit. Používejte integrovaná pravidla korelace tak, jak jsou, nebo je použijte jako výchozí bod k vytvoření vlastních pravidel. Microsoft Sentinel také poskytuje pravidla strojového učení, která mapuje chování vaší sítě a pak hledat anomálie napříč vašimi prostředky. Tyto analýzy spojují tečky tím, že kombinují upozornění na různé entity s nízkou věrností do potenciálních vysoce věrných incidentů zabezpečení.

Automatizace zabezpečení & orchestrace

Automatizujte své běžné úlohy a zjednodušte orchestraci zabezpečení pomocí playbooků, které se integrují se službami Azure a vašimi stávajícími nástroji.

Řešení automatizace a orchestrace od Microsoftu sentinelu postavené na platformě Azure Logic Apps poskytuje vysoce rozšiřitelnou architekturu, která umožňuje škálovatelnou automatizaci s tím, jak se objevují nové technologie a hrozby. Pokud chcete vytvářet playbooky Azure Logic Apps, můžete si vybrat z rozrůstající se galerie integrovaných playbooků. Patří mezi ně více než 200 konektorů pro služby, jako jsou funkce Azure. Konektory umožňují použít libovolnou vlastní logiku v kódu, ServiceNow, Jira, Zendesk, požadavky HTTP, Microsoft Teams, Slack, Windows Defender ATP a Defender for Cloud Apps.

Pokud například používáte systém lístků ServiceNow, můžete pomocí poskytnutých nástrojů automatizovat pracovní postupy pomocí Azure Logic Apps a při každém zjištění konkrétní události otevřít lístek v ServiceNow.

• Playbooky jsou určené pro techniky a analytiky SOC všech úrovní, aby automatizovali a zjednodušili úlohy, včetně příjmu dat, rozšiřování, vyšetřování a nápravy.

• Playbooky fungují nejlépe s jedním opakovatelným úlohou a nevyžadují žádné znalosti kódování. Playbooky nejsou vhodné pro ad hoc nebo složité řetězy úkolů ani pro dokumentování a sdílení důkazů.

Šetření

Nástroje pro hloubkové šetření v Microsoft Sentinelu, které jsou aktuálně ve verzi Preview, vám pomůžou pochopit rozsah potenciální bezpečnostní hrozby a najít hlavní příčinu. Entitu v interaktivním grafu si můžete vybrat, abyste mohli klást zajímavé otázky na konkrétní entitu, a přejít k jejím podrobnostem a jejím připojením, abyste se mohli dostat k původní příčině hrozby.

Vyhledávání

Využijte výkonné nástroje Proaktivní vyhledávání a dotazování v Microsoft Sentinelu založené na rozhraní MITRE, které umožňují proaktivně vyhledávat bezpečnostní hrozby napříč zdroji dat vaší organizace před aktivací výstrahy. Jakmile zjistíte, který dotaz pro proacích poskytuje cenné přehledy o možných útocích, můžete také vytvořit vlastní pravidla detekce založená na vašem dotazu a zobrazit tyto přehledy jako upozornění na incidenty zabezpečení. Při proacích můžete vytvářet záložky pro zajímavé události, abyste se k nim mohli později vrátit, sdílet je s ostatními a seskupit je s jinými korelačními událostmi a vytvořit tak přesvědčivý incident pro šetření.

Notebooks

Microsoft Sentinel podporuje poznámkové bloky Jupyter Azure Machine Learning pracovních prostorech, včetně úplných knihoven pro strojové učení, vizualizaci a analýzu dat.

Pomocí poznámkových bloků v Microsoft Sentinelu můžete rozšířit rozsah toho, co můžete s daty Microsoft Sentinelu dělat. Můžete například provádět analýzy, které nejsou integrované ve službě Microsoft Sentinel, jako jsou některé funkce strojového učení v Pythonu, vytvářet vizualizace dat, které nejsou integrované ve službě Microsoft Sentinel, jako jsou vlastní časové osy a stromy procesů, nebo integrovat zdroje dat mimo Microsoft Sentinel, jako je například místní sada dat.

• Poznámkové bloky Microsoft Sentinelu jsou určené pro vědce hrozeb nebo analytiky vrstvy 2 až 3, vyšetřovatele incidentů, datové vědce a výzkumníky v oblasti zabezpečení.

• Poznámkové bloky poskytují dotazy na microsoft sentinel i externí data, funkce pro rozšiřování dat, zkoumání, vizualizaci, proaktivní vyhledávání, strojové učení a analýzu velkých dat.

• Poznámkové bloky jsou vhodné pro složitější řetězce opakovatelných úloh, jednorázové procedurální ovládací prvky, strojové učení a vlastní analýzy, podporují bohaté knihovny Pythonu pro manipulaci a vizualizaci dat a jsou užitečné při dokumentování a sdílení důkazů analýzy.

• Poznámkové bloky vyžadují vyšší křivku učení a znalosti kódování a mají omezenou podporu automatizace.

Komunita

Komunita Microsoft Sentinelu je výkonným zdrojem pro detekci a automatizaci hrozeb. Naši bezpečnostní analytici Microsoftu neustále vytvářejí a přidávají nové sešity, playbooky, dotazy pro proacích a další funkce, které můžete použít ve svém prostředí v komunitě. Můžete si stáhnout ukázkový obsah z úložiště GitHub komunity a vytvářet vlastní sešity, dotazy pro proacích, poznámkové bloky a playbooky pro Microsoft Sentinel.

Další kroky

• Abyste se službou Microsoft Sentinel začali, potřebujete předplatné, které Microsoft Azure. Pokud nemáte předplatné, můžete si zaregistrovat bezplatnou zkušební verzi.
• Zjistěte, jak onboardovat data do Služby Microsoft Sentinela získat přehled o vašich datech a potenciálních hrozbách.