Microsoft Sentinel nedir?
Not
Azure Sentinel artık Microsoft Sentinel olarak anılmıştır ve önümüzdeki haftalarda bu sayfaları güncelleştiriyor olacağız. En son Microsoft güvenlik geliştirmeleri hakkında daha fazla bilgi.
Microsoft Sentinel, ölçeklenebilir, bulutta yerel, güvenlik bilgileri olay yönetimi (SıEM) ve güvenlik Orchestration otomatik yanıtı (Soar) çözümüdür. Microsoft Sentinel, bir uyarı algılama, tehdit görünürlüğü, proaktif arama ve tehdit yanıtı için tek bir çözüm sunarak kuruluş genelinde akıllı güvenlik Analizi ve tehdit bilgileri sunar.
Microsoft Sentinel, çok daha fazla gelişmiş saldırı, uyarı hacimlerini artırma ve uzun çözüm süresi çerçevelerinden oluşan, kurumsal hafifletmesini, kuruluş genelinde büyük bir bakış görünümünüz.
Hem şirket içinde hem de birden çok bulutta, tüm kullanıcılar, cihazlar, uygulamalar ve altyapıda bulut ölçeğinde veri toplayın .
Daha önce algılanmayan tehditleri algılayın ve Microsoft 'un analizlerini ve benzersiz tehdit bilgilerini kullanarak yanlış pozitif sonuçları en aza indirin .
Yapay zeka ile tehditleri araştırın ve ölçekteki şüpheli etkinlikler Için, Microsoft 'ta bulunan siber güvenlik çalışmalarına dokunduktan fazla bilgi için arama yapın.
Ortak görevlerin yerleşik düzenlemesi ve otomasyonu ile olaylara hızla yanıt verin .
Microsoft Sentinel, mevcut Azure hizmetlerinin tam aralığında oluşturma, Log Analytics ve Logic Apps gibi kanıtlanmış temelleri yerel olarak içerir. Microsoft, araştırma ve algılamalarınızı AI ile zenginleştirir ve Microsoft 'un tehdit bilgileri akışını sağlar ve kendi tehdit zekaızın bilgilerini almanıza olanak sağlar.
tüm verilerinize Bağlan
Yerleşik Microsoft Sentinel 'e yönelik olarak, önce güvenlik kaynaklarınıza bağlanmanızgerekir.
microsoft Sentinel, microsoft çözümleri için kullanıma hazır olan ve Microsoft 365 Defender (eski adıyla Microsoft tehdit koruması) çözümleri ve Microsoft 365 kaynakları dahil olmak üzere gerçek zamanlı tümleştirme sağlayan çok sayıda bağlayıcıyla birlikte gelir Office 365 , Azure AD, kimlik için Microsoft Defender (eski adıyla Azure ATP) ve bulut uygulamaları için Microsoft Defender ve daha fazlası. Ayrıca, Microsoft dışı çözümler için daha geniş güvenlik ekosistemine yerleşik bağlayıcılar vardır. Ayrıca, veri kaynaklarınızı Microsoft Sentinel 'e bağlamak için ortak olay biçimi, syslog veya REST API 'sini de kullanabilirsiniz.
Daha fazla bilgi için bkz. veri bağlayıcınızı bulma.
Not
Bu hizmet, müşterilerin Temsilcili abonelikleri ve kaynak gruplarını yönetmek için hizmet sağlayıcılarının kendi kiracılarında oturum açmasını sağlayan Azure Mathousehizmetini destekler.
Çalışma Kitapları
Veri kaynaklarınızı Microsoft Sentinel 'e bağladıktan sonra, özel çalışma kitapları oluşturma konusunda çok yönlülük sağlayan Azure Izleyici çalışma kitapları Ile Microsoft Sentinel tümleştirmesini kullanarak verileri izleyebilirsiniz.
Çalışma kitapları Microsoft Sentinel 'de farklı şekilde görüntülenirken, Azure Izleyici çalışma kitapları ile etkileşimli raporlar oluşturmayıgörmeniz yararlı olabilir. Microsoft Sentinel, verileriniz genelinde özel çalışma kitapları oluşturmanızı sağlar ve ayrıca, bir veri kaynağını bağladığınızda verilerinize hızlı bir şekilde Öngörüler elde etmenizi sağlayan yerleşik çalışma kitabı şablonlarıyla birlikte gelir.
Çalışma kitapları, tüm katmanların, verileri görselleştirmeye yönelik SOC mühendisleri ve analistleri için tasarlanmıştır.
Çalışma kitapları, Microsoft Sentinel verilerinin üst düzey görünümlerinde en iyi şekilde kullanıldığı ve kodlama bilgisi gerektirmeyen çalışma kitaplarını dış verilerle tümleştiremezsiniz.
Analiz
Microsoft Sentinel, gürültüyü azaltmanıza ve araştırmanız gereken uyarı sayısını en aza indirmenize yardımcı olmak için, uyarıları olaylar ile ilişkilendirmek içinanalizler kullanır. Olaylar , araştırıp çözebileceğiniz, uygulanabilir olabilecek bir tehdit oluşturan ilgili uyarı gruplarıdır. Yerleşik bağıntı kurallarını olduğu gibi kullanın veya kendi kendinize oluşturmak için bir başlangıç noktası olarak kullanın. Microsoft Sentinel Ayrıca, ağ davranışınızı eşlemek için makine öğrenimi kuralları sağlar ve kaynaklarınızın tamamında bozukluklar olup olmadığına bakar. Bu analizler, farklı varlıklar hakkında düşük doğruluk uyarılarını potansiyel yüksek kaliteli güvenlik olaylarına birleştirerek noktaları birbirine bağlanır.
Güvenlik Otomasyonu & düzenleme
Ortak görevlerinizi otomatikleştirin ve Azure hizmetleriyle ve mevcut araçlarınızla tümleştirilen PlayBook 'lar ile güvenlik düzenlemesini kolaylaştırın .
Azure Logic Apps temel alınarak geliştirilen Microsoft Sentinel automation ve orchestration çözümü, yeni teknolojiler ve tehditler ortaya çıktı olarak ölçeklenebilir otomasyonu sağlayan yüksek düzeyde genişletilebilir bir mimari sağlar. Azure Logic Apps ile playbook 'lar oluşturmak için, büyüyen bir yerleşik playbook galerisi arasından seçim yapabilirsiniz. Bunlar Azure işlevleri gibi hizmetler için 200 + bağlayıcı içerir. bağlayıcılar, bulut uygulamaları için kod, servicenow, jira, Zendesk, HTTP istekleri, Microsoft Teams, bolluk, Windows Defender ATP ve Defender içinde herhangi bir özel mantık uygulamanıza olanak tanır.
örneğin, servicenow bilet sistemi kullanıyorsanız, iş akışlarınızı otomatikleştirmek için Azure Logic Apps kullanmak için sunulan araçları kullanabilir ve belirli bir olay algılandığında servicenow içinde bir bilet açabilirsiniz.
PlayBook 'lar, veri alma, zenginleştirme, araştırma ve düzeltme dahil olmak üzere görevleri otomatik hale getirmek ve basitleştirmek için tüm katmanların SOC mühendisleri ve analistlerine yöneliktir.
Playbooks, tek ve yinelenebilir görevlerle en iyi şekilde çalışır ve kodlama bilgisi gerektirmez. PlayBook 'lar, geçici veya karmaşık görev zincirlerine ya da belgeleme ve paylaşma kanıtları için uygun değildir.
Araştırma
Şu anda önizleme aşamasında olan Microsoft Sentinel derin araştırma araçları, olası bir güvenlik tehdidi kapsamında kapsamı anlamanıza ve kök nedenini bulmanıza yardımcı olur. Belirli bir varlık için ilginç sorular sormak üzere etkileşimli grafikte bir varlık seçebilir ve bu varlığa ve bu varlığın bağlantı ayrıntılarına gidebilir ve bu da tehdidin temel nedenine ulaşın.
Avlanma
Microsoft Sentinel 'in, bir uyarı tetiklenmesi için kuruluşunuzun veri kaynakları genelinde güvenlik tehditleri için güvenli bir şekilde aramanızı sağlayan, MITRE çerçevesine dayalı arama ve sorgu araçlarınıkullanın. Hangi Arayıcı sorgusunun olası saldırılara yönelik yüksek değerli Öngörüler sağladığını bulduktan sonra, sorgunuza göre özel algılama kuralları oluşturabilir ve bu öngörüleri güvenlik olay yanıtlamalarınıza uyarı olarak bırakabilirsiniz. Arama yaparken, ilginç olaylar için yer işaretleri oluşturabilir, daha sonra bu kullanıcılara geri dönebilmeniz, başkalarıyla paylaşmanız ve daha sonra incelemek üzere etkileyici bir olay oluşturmak için bunları diğer ilişkili olaylarla gruplandırmanıza olanak tanır.
Notebooks
Microsoft Sentinel, makine öğrenimi, görselleştirme ve veri analizinin tam kitaplıkları dahil olmak üzere Azure Machine Learning çalışma alanlarında jupyıter not defterlerini destekler.
Microsoft Sentinel verileriyle yapabileceklerinizin kapsamını genişletmek için Microsoft Sentinel 'de not defterlerini kullanın . Örneğin, bazı Python makine öğrenimi özellikleri gibi Microsoft Sentinel 'e yerleşik olmayan çözümlemeler yapın, özel zaman çizelgeleri ve işlem ağaçları gibi Microsoft Sentinel 'e yerleşik olmayan veri görselleştirmeleri oluşturun ya da şirket içi veri kümesi gibi Microsoft Sentinel dışında veri kaynaklarını tümleştirin.
Microsoft Sentinel Not defterleri, tehdit arayışları veya katman 2-3 analistleri, olay araştırmacıya, veri bilimcileri ve güvenlik araştırmacıları için tasarlanmıştır.
Not defterleri hem Microsoft Sentinel hem de dış verilere yönelik sorgular, veri zenginleştirme, araştırma, görselleştirme, arama, makine öğrenimi ve büyük veri analizi için özellikler sağlar.
Not defterleri, tekrarlanabilir görevlerin, geçici yordamsal denetimlerin, makine öğrenimi ve özel analizine yönelik daha karmaşık zincirler için en iyisidir, verileri işlemek ve görselleştirmede zengin Python kitaplıklarını destekler ve, belgeleme ve paylaşma konusunda yararlı olur.
Not defterleri daha yüksek bir öğrenme eğrisi ve kodlama bilgisi gerektirir ve sınırlı Otomasyon desteğine sahiptir.
Topluluk
Microsoft Sentinel topluluğu, tehdit algılama ve otomasyonu için güçlü bir kaynaktır. Microsoft Güvenlik analistlerimiz sürekli olarak yeni çalışma kitapları, PlayBook 'lar oluşturma ve ekleme, sorguları yönetme ve daha fazlası oluşturup, ortamınızda kullanabilmeniz için bunları topluluğa aktarıyoruz. özel topluluk GitHub deposundan örnek içeriği indirebilir, Microsoft Sentinel için sorgular, not defterleri ve playbook 'lar oluşturabilirsiniz.
Sonraki adımlar
- Microsoft Sentinel ile çalışmaya başlamak için Microsoft Azure aboneliğine sahip olmanız gerekir. Aboneliğiniz yoksa ücretsiz deneme sürümü için kaydolabilirsiniz.
- Verilerinizi Microsoft Sentinel 'e ekleme ve verilerinize ilişkin görünürlük alma ve olası tehditlerhakkında bilgi edinin.