Co je Microsoft Sentinel?

  • 6 min

Začněme několika definicemi a podíváme se na systémy SIEM (Security Information and Event Management ) a Microsoft Sentinel.

Co jsou informace o zabezpečení a správa událostí (SIEM)?

Systém SIEM je nástroj, který organizaci slouží ke shromažďování, analýze a provádění operací zabezpečení na jejích počítačových systémech. Tyto systémy můžou být hardwarová zařízení, aplikace nebo obojí.

V nejjednodušší podobě vám systém SIEM umožňuje:

  • Shromažďování a dotazování protokolů
  • Nějakou formu detekce korelace nebo anomálií
  • Vytváření upozornění a incidentů na základě zjištěných údajů

Systém SIEM může nabízet mimo jiné následující funkce:

  • Správa protokolů: Možnost shromažďovat, ukládat a dotazovat data protokolu z prostředků ve vašem prostředí.

  • Upozorňování: Proaktivní pohled do dat protokolu o potenciálních incidentech zabezpečení a anomáliích

  • Vizualizace: Grafy a řídicí panely, které poskytují vizuální přehledy o datech protokolů.

  • Řízení incidentů: Schopnost vytvářet, aktualizovat, přiřazovat a zkoumat zjištěné incidenty.

  • Dotazování na data: Bohatý dotazovací jazyk podobný jazyku pro správu protokolů, který můžete použít k dotazování a porozumění datům.

Co je Microsoft Sentinel?

Microsoft Sentinel je cloudový nativní systém SIEM, který může tým pro provoz zabezpečení použít k následujícím akcím:

  • Získávat přehledy o zabezpečení napříč podnikem shromažďováním dat prakticky z jakéhokoli zdroje
  • Rychle zjišťovat a prověřovat hrozby pomocí integrovaných funkcí strojového učení a analýzy hrozeb od Microsoftu
  • Automatizovat reakce na hrozby pomocí playbooků a integrace se službou Azure Logic Apps

Na rozdíl od tradičních řešení SIEM nemusíte instalovat žádné servery místně ani v cloudu, abyste mohli spustit Microsoft Sentinel. Microsoft Sentinel je služba, kterou nasazujete v Azure. Službu Sentinel můžete na portálu Azure Portal zprovoznit za pár minut.

Microsoft Sentinel je úzce integrovaný s dalšími cloudovými službami. Kromě rychlého ingestování protokolů můžete také použít nativně jiné cloudové služby (například autorizaci a automatizaci).

Microsoft Sentinel vám pomůže povolit komplexní operace zabezpečení, včetně shromažďování, zjišťování, vyšetřování a odezvy:

Diagram showing the end-to-end functionality of Microsoft Sentinel.

Pojďme se podívat na klíčové komponenty v Microsoft Sentinelu.