Vad är Microsoft Sentinel?

  • 6 minuter

Vi börjar med några definitioner och en titt på SIEM-system (säkerhetsinformation och händelsehantering ) och Microsoft Sentinel.

Vad är säkerhetsinformation och händelsehantering (SIEM)?

Ett SIEM-system är ett verktyg som en organisation använder för att samla in, analysera och utföra säkerhetsåtgärder på sina datorsystem. Dessa system kan vara maskinvaruenheter, program eller både och.

I sin enklaste form gör ett SIEM-system att du kan:

  • Samla in och skicka frågor till loggar.
  • Göra någon form av korrelations- eller avvikelseidentifiering.
  • Skapa aviseringar och incidenter utifrån dina resultat.

Ett SIEM-system kan erbjuda funktioner som:

  • Logghantering: Möjligheten att samla in, lagra och köra frågor mot loggdata från resurser i din miljö.

  • Aviseringar: En proaktiv titt i loggdata för potentiella säkerhetsincidenter och avvikelser.

  • Visualisering: Diagram och instrumentpaneler som ger visuella insikter om dina loggdata.

  • Incidenthantering: Möjligheten att skapa, uppdatera, tilldela och undersöka incidenter som har identifierats.

  • Fråga efter data: Ett omfattande frågespråk, ungefär som för logghantering, som du kan använda för att fråga efter och förstå dina data.

Vad är Microsoft Sentinel?

Microsoft Sentinel är ett molnbaserat SIEM-system som ett säkerhetsåtgärdsteam kan använda för att:

  • Få säkerhetsinsikter i hela företaget genom att samla in data från i princip vilken källa som helst.
  • Snabbt upptäcka och undersöka hot med hjälp av inbyggd maskininlärning och Microsofts hotinformation.
  • Automatisera svar på hot med hjälp av spelböcker och genom att integrera Azure Logic Apps.

Till skillnad från traditionella SIEM-lösningar behöver du inte installera några servrar lokalt eller i molnet för att köra Microsoft Sentinel. Microsoft Sentinel är en tjänst som du distribuerar i Azure. Du kan komma igång med Sentinel på bara några minuter i Azure-portalen.

Microsoft Sentinel är nära integrerat med andra molntjänster. Inte bara kan du snabbt mata in loggar, utan du kan också använda andra molntjänster internt (t. ex. för auktorisering och automatisering).

Microsoft Sentinel hjälper dig att aktivera säkerhetsåtgärder från slutpunkt till slutpunkt, inklusive insamling, identifiering, undersökning och svar:

Diagram showing the end-to-end functionality of Microsoft Sentinel.

Nu ska vi ta en titt på nyckelkomponenterna i Microsoft Sentinel.