什麼是 Microsoft Sentinel?
Microsoft Sentinel 是可調整的雲端原生安全性資訊和事件管理 (SIEM),可為 SIEM 和安全性協調流程、自動化和回應 (SOAR) 提供智慧且全面的解決方案。 Microsoft Sentinel 提供網路威脅偵測、調查、回應和主動搜捕,以及整個企業的鳥眼檢視。
Microsoft Sentinel 也原生地納入經證實的 Azure 服務,例如 Log Analytics 和 Logic Apps,並使用 AI 擴充您的調查和偵測。 它同時使用 Microsoft 的威脅情報串流,也可讓您攜帶自己的威脅情報。
使用 Microsoft Sentinel 來減輕日益複雜攻擊的壓力、增加的警示數量,以及較長的解決時間範圍。 本文強調 Microsoft Sentinel 中的重要功能。
重要
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
Microsoft Sentinel 會繼承 Azure 監視器 竄改和不變性 做法。 雖然 Azure 監視器是僅限附加的數據平臺,但它包含為了合規性目的刪除數據的布建
此服務支援 Azure Lighthouse,可讓服務提供者登入其本身的租用戶,以管理客戶所委派的訂用帳戶和資源群組。
啟用現用的安全性內容
Microsoft Sentinel 提供封裝在 SIEM 解決方案中的安全性內容,可讓您內嵌數據、監視、警示、搜捕、調查、回應,以及與不同的產品、平臺和服務連線。
如需詳細資訊,請參閱 關於 Microsoft Sentinel 內容和解決方案。
大規模收集數據
在內部部署和多個雲端中,收集所有使用者、裝置、應用程式和基礎結構的數據。
下表醒目提示 Microsoft Sentinel 中用於數據收集的主要功能。
| 功能 | 描述 | 開始使用 |
|---|---|---|
| 現用數據連接器 | 許多連接器都與適用於 Microsoft Sentinel 的 SIEM 解決方案一起封裝,並提供即時整合。 這些連接器包括 Microsoft 來源和 Azure 來源,例如 Microsoft Entra ID、Azure 活動、Azure 儲存體 等等。 現用連接器也可用於非 Microsoft 解決方案的更廣泛安全性和應用程式生態系統。 您也可以使用一般事件格式、Syslog 或 REST-API,將數據源與 Microsoft Sentinel 連線。 |
Microsoft Sentinel 資料連接器 |
| 自訂連接器 | Microsoft Sentinel 支援從某些來源擷取數據,而不需要專用連接器。 如果您無法使用現有的解決方案將數據源連線到 Microsoft Sentinel,請建立您自己的數據源連接器。 | 用來建立 Microsoft Sentinel 自定義連接器的資源。 |
| 數據正規化 | Microsoft Sentinel 會同時使用查詢時間和擷取時間正規化,將各種來源轉譯成統一的正規化檢視。 | 正規化和進階安全性資訊模型 (ASIM) |
偵測威脅
使用 Microsoft 的分析和無可匹敵的威脅情報,偵測先前未偵測到的威脅,並減少誤判。
下表醒目提示 Microsoft Sentinel 中用於威脅偵測的重要功能。
| Capacity | 描述 | 開始使用 |
|---|---|---|
| 分析 | 協助您減少雜訊,並將您必須檢閱和調查的警示數目降到最低。 Microsoft Sentinel 會使用分析將警示分組為事件。 依現成使用現成的分析規則,或作為建置您自己的規則的起點。 Microsoft Sentinel 也提供規則來對應您的網路行為,然後尋找資源之間的異常狀況。 這些分析將不同實體相關的低精確度警示,合併成潛在的高精確度安全性事件,以釐清真相。 | 立即偵測威脅 |
| MITRE ATT&CK 涵蓋範圍 | Microsoft Sentinel 會分析內嵌的數據,不僅可偵測威脅並協助您調查,還能根據 MITRE ATT&CK® 架構的策略和技術,將組織安全性狀態的性質和涵蓋範圍可視化。 | 瞭解 MITRE ATT&CK® 架構的安全性涵蓋範圍 |
| 威脅情報 | 將許多威脅情報來源整合到 Microsoft Sentinel,以偵測環境中的惡意活動,並提供內容給安全性調查人員,以做出明智的回應決策。 | Microsoft Sentinel 中的威脅情報 |
| 關注清單 | 將您提供的數據源數據與 Microsoft Sentinel 環境中的事件相互關聯,成為監看清單。 例如,您可以建立具有高價值資產、已終止員工或服務帳戶清單的監看清單。 在您的搜尋、偵測規則、威脅搜尋和回應劇本中使用監看清單。 | Microsoft Sentinel 中的關注清單 |
| 活頁簿 | 使用活頁簿建立互動式視覺效果報表。 Microsoft Sentinel 隨附內建的活頁簿範本,可讓您在連線數據源時快速取得數據見解。 或者,建立您自己的自定義活頁簿。 | 將收集的數據可視化。 |
調查威脅
使用人工智慧調查威脅,並大規模搜捕可疑的活動,深入探究 Microsoft 多年來的網路安全性工作。
下表醒目提示 Microsoft Sentinel 中威脅調查的主要功能。
| 功能 | 描述 | 開始使用 |
|---|---|---|
| 事故 | Microsoft Sentinel 深入調查工具可協助您了解潛在安全性威脅的範圍,並找出其根本原因。 您可以選擇互動式圖表上的實體來詢問特定實體的有趣問題,並向下切入該實體及其連線,以取得威脅的根本原因。 | 在 Microsoft Sentinel 中巡覽和調查事件 |
| 狩獵 | Microsoft Sentinel 的強大搜尋和查詢工具,以 MITRE 架構為基礎,可讓您在觸發警示之前,主動搜尋整個組織數據源的安全性威脅。 根據搜捕查詢建立自訂偵測規則。 接著,以警示的形式將那些見解呈現給安全性事件回應者。 | Microsoft Sentinel 中的威脅搜捕 |
| Notebooks | Microsoft Sentinel 支援 Azure Machine Learning 工作區中的 Jupyter 筆記本,包括機器學習、視覺效果和資料分析的完整程式庫。 使用 Microsoft Sentinel 中的筆記本,來延伸您可以使用 Microsoft Sentinel 資料執行的動作範圍。 例如: - 執行不是 Microsoft Sentinel 內建的分析,例如某些 Python 機器學習功能。 - 建立未內建至 Microsoft Sentinel 的數據視覺效果,例如自定義時程表和處理樹狀結構。 - 在 Microsoft Sentinel 外部整合數據源,例如內部部署數據集。 |
具有 Microsoft Sentinel 搜捕功能的 Jupyter Notebook |
快速回應事件
使用將 Azure 服務與現有工具整合的劇本,自動化一般工作並簡化安全性協調流程。 Microsoft Sentinel 的自動化和協調流程提供高度可延伸的架構,可在新技術和威脅出現時啟用可調整的自動化。
Microsoft Sentinel 中的劇本是以 Azure Logic Apps 內建的工作流程為基礎。 舉例來說,如果您使用 ServiceNow 票證系統,則可使用 Azure Logic Apps 將您的工作流程自動化,並且在每次產生特殊警示或事件時在 ServiceNow 中開啟票證。
下表醒目提示 Microsoft Sentinel 中威脅回應的主要功能。
| 功能 | 描述 | 開始使用 |
|---|---|---|
| 自動化規則 | 藉由定義和協調涵蓋不同案例的一小組規則,集中管理 Microsoft Sentinel 中的事件處理自動化。 | 使用自動化規則將 Microsoft Sentinel 中的威脅回應自動化 |
| 劇本 | 使用劇本將威脅回應自動化並協調,這是補救動作的集合。 在自動化規則觸發時,視需要執行劇本,或自動回應特定警示或事件。 若要使用 Azure Logic Apps 建置劇本,請從不斷擴充的連接器資源庫中選擇各種服務和系統,例如 ServiceNow、Jira 等等。 這些連接器可讓您在工作流程中套用任何自定義邏輯。 |
使用 Microsoft Sentinel 中的劇本將威脅回應自動化 所有邏輯 應用程式連線程式 的清單 |