Wat is Microsoft Sentinel?

Voltooid

Laten we beginnen met een paar definities en kijken naar SIEM-systemen (Security Information and Event Management ) en Microsoft Sentinel.

Wat is SECURITY Information and Event Management (SIEM)?

Een SIEM-systeem is een hulpprogramma dat een organisatie gebruikt voor het verzamelen, analyseren en uitvoeren van beveiligingsbewerkingen op de computersystemen. Deze systemen kunnen hardware-apparaten, toepassingen of beide zijn.

In de eenvoudigste vorm kunt u met een SIEM-systeem het volgende doen:

  • Logboeken verzamelen en query’s uitvoeren.
  • Enige vorm van correlatie- of anomaliedetectie uitvoeren.
  • Waarschuwingen en incidenten maken op basis van uw bevindingen.

Een SIEM-systeem kan functionaliteit bieden zoals:

  • Logboekbeheer: de mogelijkheid om logboekgegevens van resources in uw omgeving te verzamelen, op te slaan en er query's op uit te voeren.

  • Waarschuwingen: een proactief overzicht van de logboekgegevens voor mogelijke beveiligingsincidenten en afwijkingen.

  • Visualisatie: Grafieken en dashboards die visuele inzichten bieden in uw logboekgegevens.

  • Incidentbeheer: de mogelijkheid om incidenten te maken, bij te werken, toe te wijzen en te onderzoeken die zijn geïdentificeerd.

  • Query's uitvoeren op gegevens: een uitgebreide querytaal, vergelijkbaar met die voor logboekbeheer, die u kunt gebruiken om query's uit te voeren en inzicht te geven in uw gegevens.

Wat is Microsoft Sentinel?

Microsoft Sentinel is een cloudeigen SIEM-systeem dat een beveiligingsteam kan gebruiken voor het volgende:

  • Beveiligingsinzichten verkrijgen in de hele organisatie door gegevens van vrijwel elke bron te verzamelen.
  • Snel bedreigingen detecteren en onderzoeken door gebruik te maken van ingebouwde machine learning en bedreigingsinformatie van Microsoft.
  • Reacties op bedreigingen automatiseren door middel van playbooks en integratie van Azure Logic Apps.

In tegenstelling tot traditionele SIEM-oplossingen hoeft u geen servers on-premises of in de cloud te installeren om Microsoft Sentinel uit te voeren. Microsoft Sentinel is een service die u in Azure implementeert. U kunt in een paar minuten aan de slag met Sentinel in de Azure Portal.

Microsoft Sentinel is nauw geïntegreerd met andere cloudservices. U kunt niet alleen snel logboeken opnemen, maar u kunt ook andere systeemeigen cloudservices gebruiken (bijvoorbeeld autorisatie en automatisering).

Met Microsoft Sentinel kunt u end-to-end beveiligingsbewerkingen inschakelen, waaronder verzameling, detectie, onderzoek en reactie:

Diagram showing the end-to-end functionality of Microsoft Sentinel.

Laten we eens kijken naar de belangrijkste onderdelen in Microsoft Sentinel.