Vad är Microsoft Sentinel?

Microsoft Sentinel är en skalbar, molnbaserad händelsehanteringslösning för säkerhetsinformation (SIEM) och soar-lösning (Security Orchestration Automated Response). Microsoft Sentinel levererar intelligent säkerhetsanalys och hotinformation i hela företaget, vilket ger en enda lösning för aviseringsidentifiering, hotsynlighet, proaktiv jakt och hotsvar.

Microsoft Sentinel är ett exempel på hur företaget kan minska stressen från allt mer sofistikerade attacker, ökande mängder aviseringar och långa tidsramar för lösning.

• Samla in data i molnskala för alla användare, enheter, program och infrastruktur, både lokalt och i flera moln.

• Identifiera tidigare oupptäckta hot och minimera falska positiva identifieringar med hjälp av Microsofts analys och ojämförlig hotinformation.

• Undersök hot med artificiell intelligens och leta efter misstänkta aktiviteter i stor skala, med flera års cybersäkerhetsarbete på Microsoft.

• Reagera snabbt på incidenter med inbyggd orkestrering och automatisering av vanliga uppgifter.

Microsoft Sentinel bygger på alla befintliga Azure-tjänster och har inbyggda beprövade grunder som Log Analytics och Logic Apps. Microsoft Sentinel utökar din undersökning och identifiering med AI och tillhandahåller Microsofts hotinformationsström och gör att du kan använda din egen hotinformation.

Anslut till alla dina data

För att kunna använda Microsoft Sentinel måste du först ansluta till dina säkerhetskällor.

Microsoft Sentinel levereras med ett antal anslutningsappar för Microsoft-lösningar som är tillgängliga direkt och tillhandahåller realtidsintegrering, inklusive Microsoft 365 Defender-lösningar (tidigare Microsoft Threat Protection) och Microsoft 365-källor, inklusive Office 365 , Azure AD, Microsoft Defender for Identity (tidigare Azure ATP) och Microsoft Defender for Cloud Apps med mera. Dessutom finns det inbyggda anslutningsappar till det bredare säkerhetsekosystemet för lösningar som inte kommer från Microsoft. Du kan också använda vanligt händelseformat, Syslog eller REST-API för att ansluta dina datakällor till Microsoft Sentinel.

Mer information finns i Hitta din dataanslutning.

Arbetsböcker

När du har anslutit dina datakällor till Microsoft Sentinel kan du övervaka data med hjälp av Microsoft Sentinel-integrering med Azure Monitor-arbetsböcker, vilket ger flexibilitet när du skapar anpassade arbetsböcker.

Arbetsböcker visas på olika sätt i Microsoft Sentinel, men det kan vara användbart för dig att se hur du skapar interaktiva rapporter med Azure Monitor Arbetsböcker. Med Microsoft Sentinel kan du skapa anpassade arbetsböcker för dina data och levereras med inbyggda arbetsboksmallar så att du snabbt kan få insikter om dina data så fort du ansluter en datakälla.

• Arbetsböcker är avsedda för SOC-tekniker och analytiker på alla nivåer för att visualisera data.

• Arbetsböcker passar bäst för högnivåvyer av Microsoft Sentinel-data och kräver ingen kodningskunskap, men du kan inte integrera Arbetsböcker med externa data.

Analys

För att hjälpa dig att minska bruset och minimera antalet aviseringar som du måste granska och undersöka använder Microsoft Sentinel analyser för att korrelera aviseringar i incidenter. Incidenter är grupper av relaterade aviseringar som tillsammans skapar ett åtgärdsbart hot som du kan undersöka och lösa. Använd de inbyggda korrelationsreglerna som de är, eller använd dem som utgångspunkt för att skapa dina egna. Microsoft Sentinel tillhandahåller också maskininlärningsregler för att mappa nätverksbeteendet och sedan söka efter avvikelser mellan dina resurser. De här analyserna kopplar ihop punkterna genom att kombinera aviseringar med låg återgivning om olika entiteter till potentiella säkerhetsincidenter med hög återgivning.

Säkerhetsautomatisering & orkestrering

Automatisera dina vanliga uppgifter och förenkla säkerhetsorkestrering med spelböcker som integreras med Azure-tjänster och dina befintliga verktyg.

Microsoft Sentinels automatiserings- och orkestreringslösning bygger på Azure Logic Apps och tillhandahåller en mycket utökningsbar arkitektur som möjliggör skalbar automatisering allt eftersom nya tekniker och hot dyker upp. Om du vill skapa spelböcker Azure Logic Apps kan du välja från ett växande galleri med inbyggda spelböcker. Dessa omfattar över 200 anslutningsappar för tjänster som Azure Functions. Med anslutningsapparna kan du tillämpa anpassad logik i kod, ServiceNow, Jira, Zendesk, HTTP-begäranden, Microsoft Teams, Slack, Windows Defender ATP och Defender for Cloud Apps.

Om du till exempel använder ServiceNow-biljettsystemet kan du använda de verktyg som tillhandahålls för att använda Azure Logic Apps för att automatisera dina arbetsflöden och öppna ett ärende i ServiceNow varje gång en viss händelse identifieras.

• Spelböcker är avsedda för SOC-tekniker och analytiker på alla nivåer för att automatisera och förenkla uppgifter, inklusive datainmatning, berikning, undersökning och reparation.

• Spelböcker fungerar bäst med enkla, repeterbara uppgifter och kräver ingen kodningskunskap. Spelböcker är inte lämpliga för ad hoc eller komplexa uppgiftskedjor, eller för att dokumentera och dela bevis.

Undersökning

För närvarande i förhandsversionen hjälper Microsoft Sentinel-djupgranskningsverktyg dig att förstå omfattningen och hitta rotorsaken till ett potentiellt säkerhetshot. Du kan välja en entitet i det interaktiva diagrammet för att ställa intressanta frågor för en specifik entitet och öka detaljgranska entiteten och dess anslutningar för att komma till den bakomliggande orsaken till hotet.

Hotjakt

Använd Microsoft Sentinels kraftfulla sök-och frågeverktyg för jakt baserat på MITRE-ramverket, som gör att du proaktivt kan söka efter säkerhetshot i organisationens datakällor innan en avisering utlöses. När du har upptäckt vilka jaktfrågor som ger värdefulla insikter om möjliga attacker kan du även skapa anpassade identifieringsregler baserat på din fråga och upptäcka dessa insikter som aviseringar till säkerhetsincidentens bearbetare. När du jagar kan du skapa bokmärken för intressanta händelser så att du kan gå tillbaka till dem senare, dela dem med andra och gruppera dem med andra korrelerande händelser för att skapa en övertygande incident för undersökning.

Notebooks

Microsoft Sentinel stöder Jupyter Notebooks Azure Machine Learning arbetsytor, inklusive fullständiga bibliotek för maskininlärning, visualisering och dataanalys.

Använd notebook-datorer i Microsoft Sentinel för att utöka omfattningen av vad du kan göra med Microsoft Sentinel-data. Du kan till exempel utföra analyser som inte är inbyggda i Microsoft Sentinel, till exempel vissa maskininlärningsfunktioner i Python, skapa datavisualiseringar som inte är inbyggda i Microsoft Sentinel, till exempel anpassade tidslinjer och processträd, eller integrera datakällor utanför Microsoft Sentinel, till exempel en lokal datauppsättning.

• Notebook-datorer i Microsoft Sentinel är avsedda för hot eller nivå 2-3-analytiker, incidentutforskare, dataforskare och säkerhetsforskare.

• Notebooks innehåller frågor till både Microsoft Sentinel och externa data, funktioner för databerikning, undersökning, visualisering, jakt, maskininlärning och stordataanalys.

• Notebook-filer passar bäst för mer komplexa kedjor av repeterbara uppgifter, ad hoc-procedurkontroller, maskininlärning och anpassad analys, stöder omfattande Python-bibliotek för manipulering och visualisering av data och är användbara för att dokumentera och dela analysindata.

• Notebook-datorer kräver en högre inlärningskurva och kodningskunskaper och har begränsat stöd för automatisering.

Community

Microsoft Sentinel-communityn är en kraftfull resurs för hotidentifiering och automatisering. Våra säkerhetsanalytiker på Microsoft skapar och lägger hela tiden till nya arbetsböcker, spelböcker, jaktfrågor med mera och publicerar dem i communityn så att du kan använda dem i din miljö. Du kan ladda ned exempelinnehåll från den privata community-GitHub-lagringsplatsen för att skapa anpassade arbetsböcker, jaktfrågor, anteckningsböcker och spelböcker för Microsoft Sentinel.

Nästa steg

• För att komma igång med Microsoft Sentinel behöver du en prenumeration på Microsoft Azure. Om du inte har en prenumeration kan du registrera dig för en gratis provversion.
• Lär dig att publicera dina data till Microsoft Sentineloch få insyn i dina data och potentiella hot.