Wat is Microsoft Sentinel?
Laten we beginnen met een paar definities en kijken naar SIEM-systemen (Security Information and Event Management ) en Microsoft Sentinel.
Wat is SECURITY Information and Event Management (SIEM)?
Een SIEM-systeem is een hulpprogramma dat een organisatie gebruikt voor het verzamelen, analyseren en uitvoeren van beveiligingsbewerkingen op de computersystemen. Deze systemen kunnen hardware-apparaten, toepassingen of beide zijn.
In de eenvoudigste vorm kunt u met een SIEM-systeem het volgende doen:
- Logboeken verzamelen en query’s uitvoeren.
- Enige vorm van correlatie- of anomaliedetectie uitvoeren.
- Waarschuwingen en incidenten maken op basis van uw bevindingen.
Een SIEM-systeem kan functionaliteit bieden zoals:
Logboekbeheer: de mogelijkheid om logboekgegevens van resources in uw omgeving te verzamelen, op te slaan en er query's op uit te voeren.
Waarschuwingen: een proactief overzicht van de logboekgegevens voor mogelijke beveiligingsincidenten en afwijkingen.
Visualisatie: Grafieken en dashboards die visuele inzichten bieden in uw logboekgegevens.
Incidentbeheer: de mogelijkheid om incidenten te maken, bij te werken, toe te wijzen en te onderzoeken die zijn geïdentificeerd.
Query's uitvoeren op gegevens: een uitgebreide querytaal, vergelijkbaar met die voor logboekbeheer, die u kunt gebruiken om query's uit te voeren en inzicht te geven in uw gegevens.
Wat is Microsoft Sentinel?
Microsoft Sentinel is een cloudeigen SIEM-systeem dat een beveiligingsteam kan gebruiken voor het volgende:
- Beveiligingsinzichten verkrijgen in de hele organisatie door gegevens van vrijwel elke bron te verzamelen.
- Snel bedreigingen detecteren en onderzoeken door gebruik te maken van ingebouwde machine learning en bedreigingsinformatie van Microsoft.
- Reacties op bedreigingen automatiseren door middel van playbooks en integratie van Azure Logic Apps.
In tegenstelling tot traditionele SIEM-oplossingen hoeft u geen servers on-premises of in de cloud te installeren om Microsoft Sentinel uit te voeren. Microsoft Sentinel is een service die u in Azure implementeert. U kunt in een paar minuten aan de slag met Sentinel in de Azure Portal.
Microsoft Sentinel is nauw geïntegreerd met andere cloudservices. U kunt niet alleen snel logboeken opnemen, maar u kunt ook andere systeemeigen cloudservices gebruiken (bijvoorbeeld autorisatie en automatisering).
Met Microsoft Sentinel kunt u end-to-end beveiligingsbewerkingen inschakelen, waaronder verzameling, detectie, onderzoek en reactie:
Laten we eens kijken naar de belangrijkste onderdelen in Microsoft Sentinel.
Hulp nodig? Raadpleeg onze gids voor probleemoplossing of geef specifieke feedback door een probleem te melden.