Mi az Azure Sentinel?What is Azure Sentinel?

A Microsoft Azure Sentinel egy skálázható, Felhőbeli natív, biztonsági információkkal kapcsolatos esemény-felügyeleti (SIEM) és biztonsági előkészítési (felszárnyaló) megoldás.Microsoft Azure Sentinel is a scalable, cloud-native, security information event management (SIEM) and security orchestration automated response (SOAR) solution. Az Azure Sentinel intelligens biztonsági elemzési és fenyegetésekkel kapcsolatos intelligenciát biztosít a vállalaton belül, így egyetlen megoldást kínál a riasztások észlelésére, a fenyegetések láthatóságára, a proaktív vadászatra és a fenyegetésekre való reagálásra.Azure Sentinel delivers intelligent security analytics and threat intelligence across the enterprise, providing a single solution for alert detection, threat visibility, proactive hunting, and threat response.

Az Azure Sentinel az egész vállalatra kiterjedő, az egyre kifinomultabb támadásokat, a riasztások mennyiségét és a hosszú távú megoldási időkereteket is csökkenti.Azure Sentinel is your birds-eye view across the enterprise alleviating the stress of increasingly sophisticated attacks, increasing volumes of alerts, and long resolution timeframes.

  • Minden felhasználó, eszköz, alkalmazás és infrastruktúra, a helyszínen és több felhőben is gyűjthet adatokat a felhőben .Collect data at cloud scale across all users, devices, applications, and infrastructure, both on-premises and in multiple clouds. 

  • A korábban nem észlelt fenyegetések észleléseés a téves pozitív állapotok csökkentése a Microsoft Analytics és a páratlan veszélyforrások elleni intelligenciával.Detect previously undetected threats, and minimize false positives using Microsoft's analytics and unparalleled threat intelligence. 

  • Megvizsgálhatja a fenyegetéseket a mesterséges intelligenciával, és nagy mennyiségű gyanús tevékenységet is felhasználhat, és a Microsoftnál is kihasználhatja a számítógépes biztonsági munkát.Investigate threats with artificial intelligence, and hunt for suspicious activities at scale, tapping into years of cyber security work at Microsoft. 

  • Az incidensekre való gyors reagálás a közös feladatok beépített összehangolása és automatizálása révén.Respond to incidents rapidly with built-in orchestration and automation of common tasks.

Azure Sentinel alapképességek

A meglévő Azure-szolgáltatások teljes skáláját kiépítve az Azure Sentinel natív módon tartalmazza a bevált alapokat, például a Log Analytics és a Logic Apps.Building on the full range of existing Azure services, Azure Sentinel natively incorporates proven foundations, like Log Analytics, and Logic Apps. Az Azure Sentinel az AI-vel gazdagítja a nyomozást és az észlelést, és biztosítja a Microsoft fenyegetés-felderítési streamjét, és lehetővé teszi a saját veszélyforrások felderítését.Azure Sentinel enriches your investigation and detection with AI, and provides Microsoft's threat intelligence stream and enables you to bring your own threat intelligence.

Kapcsolódás az összes adattalConnect to all your data

Az Azure Sentinelhez először a biztonsági forrásokhoz kell csatlakoznia.To on-board Azure Sentinel, you first need to connect to your security sources. Az Azure Sentinel számos, a Microsoft-megoldások számára elérhető összekötővel rendelkezik, és valós idejű integrációt biztosít, beleértve a Microsoft veszélyforrások elleni védelmi megoldásait és Microsoft 365 forrásait, például az Office 365, az Azure AD, az Azure ATP és a Microsoft Cloud App Security stb.Azure Sentinel comes with a number of connectors for Microsoft solutions, available out of the box and providing real-time integration, including Microsoft Threat Protection solutions, and Microsoft 365 sources, including Office 365, Azure AD, Azure ATP, and Microsoft Cloud App Security, and more. Emellett beépített összekötők találhatók a nem Microsoft-megoldások szélesebb körű biztonsági ökoszisztémájában.In addition, there are built-in connectors to the broader security ecosystem for non-Microsoft solutions. Az adatforrások az Azure Sentinel szolgáltatással való összekapcsolásához használhatja a Common Event Format, a syslog vagy a REST-API-t is.You can also use common event format, Syslog or REST-API to connect your data sources with Azure Sentinel as well.

Adatgyűjtők

Megjegyzés

Ez a szolgáltatás támogatja az Azure Lighthouse-t, amely lehetővé teszi a szolgáltatók számára, hogy bejelentkezzenek a saját bérlőbe az ügyfelek által delegált előfizetések és erőforráscsoportok kezeléséhez.This service supports Azure Lighthouse, which lets service providers sign in to their own tenant to manage subscriptions and resource groups that customers have delegated.

MunkafüzetekWorkbooks

Miután csatlakoztatta az adatforrásokataz   Azure sentinelhez, az Azure Sentinel-integrációval Azure monitor munkafüzetek használatával figyelheti az adatait, amely sokoldalúan használható az egyéni munkafüzetek létrehozásához.After you connected your data sources to Azure Sentinel, you can monitor the data using the Azure Sentinel integration with Azure Monitor Workbooks, which provides versatility in creating custom workbooks. Habár a munkafüzetek másképpen jelennek meg az Azure Sentinelben, hasznos lehet megtekinteni, hogyan hozhat létre interaktív jelentéseket Azure monitor-munkafüzetekhasználatával.While Workbooks are displayed differently in Azure Sentinel, it may be useful for you to see how to Create interactive reports with Azure Monitor Workbooks. Az Azure Sentinel lehetővé teszi, hogy egyéni munkafüzeteket hozzon létre az adatai között, és a beépített munkafüzet-sablonokkal is lehetővé teszi, hogy az adatforrások összekapcsolását követően gyorsan szerezzen információt az adatelemzésről.Azure Sentinel allows you to create custom workbooks across your data, and also comes with built-in workbook templates to allow you to quickly gain insights across your data as soon as you connect a data source.

Irányítópultok

ElemzésAnalytics

A zaj csökkentése és a riasztások számának csökkentése érdekében az Azure Sentinel az elemzések segítségével összekapcsolja a riasztásokat az incidensekkel.To help you reduce noise and minimize the number of alerts you have to review and investigate, Azure Sentinel uses analytics to correlate alerts into incidents. Az incidensek a kapcsolódó riasztások csoportjai, amelyek együttesen a megvizsgálható és oldható fenyegetést jelenthetnek.Incidents are groups of related alerts that together create an actionable possible-threat that you can investigate and resolve. Használhatja a beépített korrelációs szabályokat, vagy kiindulási pontként használhatja a saját létrehozásához.Use the built-in correlation rules as-is, or use them as a starting point to build your own. Az Azure Sentinel gépi tanulási szabályokat is biztosít a hálózat működésének feltérképezéséhez, majd az erőforrások közötti rendellenességek kereséséhez.Azure Sentinel also provides machine learning rules to map your network behavior and then look for anomalies across your resources. Ezek az elemzések összekapcsolják a pontokat a különböző entitások alacsony hűséggel kapcsolatos riasztásait a lehetséges magas szintű biztonsági incidensekkel.These analytics connect the dots, by combining low fidelity alerts about different entities into potential high-fidelity security incidents.

Incidensek

Biztonsági automatizálás &Security automation & orchestration

Automatizálhatja gyakori feladatait, és leegyszerűsítheti a biztonsági előkészítést olyan forgatókönyvekkel, amelyek integrálva vannak az Azure-szolgáltatásokkal, valamint a meglévő eszközökkel.Automate your common tasks and simplify security orchestration with playbooks that integrate with Azure services as well as your existing tools. A Azure Logic Apps alapjaira épülő Azure Sentinel automatizálási és összehangoló megoldása olyan jól bővíthető architektúrát biztosít, amely lehetővé teszi a skálázható automatizálást új technológiák és fenyegetések megjelenése mellett.Built on the foundation of Azure Logic Apps, Azure Sentinel's automation and orchestration solution provides a highly-extensible architecture that enables scalable automation as new technologies and threats emerge. Ha Azure Logic Apps segítségével szeretne forgatókönyveket felépíteni, a beépített forgatókönyvek gyűjteménye közül választhat.To build playbooks with Azure Logic Apps, you can choose from a growing gallery of built-in playbooks. Ezek közé tartoznak a 200-as és az Azure functions szolgáltatásokhoz csatlakozó összekötők .These include 200+ connectors for services such as Azure functions. Az összekötők lehetővé teszik, hogy bármilyen egyéni logikát alkalmazzon a Code, a ServiceNow, a JIRA, a zendesk, a HTTP-kérelmek, a Microsoft Teams, a Slack, a Windows Defender ATP és a Cloud App Security használatával.The connectors allow you to apply any custom logic in code, ServiceNow, Jira, Zendesk, HTTP requests, Microsoft Teams, Slack, Windows Defender ATP, and Cloud App Security.

Ha például a ServiceNow jegyrendszer használatát használja, a Azure Logic Apps segítségével automatizálhatja a munkafolyamatokat, és minden alkalommal megnyithat egy jegyet a ServiceNow-ben egy adott esemény észlelésekor.For example, if you use the ServiceNow ticketing system, you can use the tools provided to use Azure Logic Apps to automate your workflows and open a ticket in ServiceNow each time a particular event is detected.

Forgatókönyvek

VizsgálatInvestigation

A jelenleg előzetes verzióban elérhető Azure Sentinel Deep vizsgálati eszközei segítenek megérteni a hatókört és megkeresni a kiváltó okot, amely potenciális biztonsági fenyegetést jelent.Currently in preview, Azure Sentinel deep investigation tools help you to understand the scope and find the root cause, of a potential security threat. Kiválaszthat egy entitást az interaktív gráfon, amely egy adott entitás érdekes kérdéseit kérdezi le, és részletezi az entitást és annak kapcsolatait, hogy a fenyegetés kiváltó okát is megszerezze.You can choose an entity on the interactive graph to ask interesting questions for a specific entity, and drill down into that entity and its connections to get to the root cause of the threat.

Vizsgálat

Veszélyforrás-keresésHunting

Az Azure Sentinel hatékony vadászati keresési és lekérdezési eszközeithasználja a Mitre Framework alapján, amely lehetővé teszi, hogy a riasztás elindítása előtt proaktív módon vadászjon a biztonsági fenyegetésekre a szervezet adatforrásaiban.Use Azure Sentinel's powerful hunting search-and-query tools, based on the MITRE framework, which enable you to proactively hunt for security threats across your organization’s data sources, before an alert is triggered. Miután felfedezte, hogy melyik vadászati lekérdezés nagy értékű betekintést nyújt a lehetséges támadásokra, létrehozhat egyéni észlelési szabályokat is a lekérdezés alapján, és felhasználhatja ezeket az elemzéseket riasztásként a biztonsági incidensek válaszadói számára.After you discover which hunting query provides high-value insights into possible attacks, you can also create custom detection rules based on your query, and surface those insights as alerts to your security incident responders. A vadászat közben könyvjelzőket hozhat létre az érdekes eseményekhez, így később visszatérhet hozzájuk, megoszthatja őket másokkal, és csoportosíthatja azokat más korrelációs eseményekkel, hogy egy kényszerítő incidenst hozzon létre a vizsgálathoz.While hunting, you can create bookmarks for interesting events, enabling you to return to them later, share them with others, and group them with other correlating events to create a compelling incident for investigation.

Veszélyforrás-keresés

KözösségCommunity

Az Azure Sentinel-Közösség hatékony erőforrás a fenyegetések észleléséhez és automatizálásához.The Azure Sentinel community is a powerful resource for threat detection and automation. A Microsoft biztonsági elemzői folyamatosan új munkafüzeteket, forgatókönyveket, vadászati lekérdezéseket és egyebeket hoznak létre és vesznek fel, és a saját környezetében való használatra közzétesszük a Közösségbe.Our Microsoft security analysts constantly create and add new workbooks, playbooks, hunting queries, and more, posting them to the community for you to use in your environment. A Private Community GitHub- adattárból letölthető mintát hozhat létre egyéni munkafüzetek, vadászati lekérdezések, jegyzetfüzetek és forgatókönyvek létrehozásához az Azure Sentinel számára.You can download sample content from the private community GitHub repository to create custom workbooks, hunting queries, notebooks, and playbooks for Azure Sentinel.

Közösség

További lépésekNext steps