Microsoft Azure Sentinel是可縮放的云原生安全信息事件管理(SIEM)和安全業(yè)務流程自動響應(SOAR)解決方案���。Azure Sentinel在整個企業(yè)范圍內提供智能安全分析和威脅智能��,為警報檢測�����、威脅可見性����、主動搜尋和威脅響應提供單一解決方案�����。
Microsoft Azure Sentinel是可縮放的云原生安全信息事件管理(SIEM)和安全業(yè)務流程自動響應(SOAR)解決方案�。Azure Sentinel在整個企業(yè)范圍內提供智能安全分析和威脅智能,為警報檢測�、威脅可見性�、主動搜尋和威脅響應提供單一解決方案��。
Azure Sentinel是整個企業(yè)的鳥瞰視圖����,可以緩解日益復雜的攻擊、不斷增加的警報數量以及長時間解決時間幀帶來的壓力�����。
·跨所有用戶���、設備��、應用程序和基礎結構(包括本地和多個云)以云規(guī)模收集數據����。
·檢測以前未檢測到的威脅��,并使用Microsoft的分析和無與倫比的威脅智能�,最大限度地減少誤報。
·借助人工智能調查威脅�,結合Microsoft多年以來的網絡安全工作經驗大規(guī)模搜尋可疑活動。
·通過內置的業(yè)務流程和常見任務自動化快速響應事件。
Azure Sentinel基于現有的各種Azure服務��,原生集成了經過證實的基礎服務�����,例如Log Analytics和邏輯應用���。Azure Sentinel可以借助人工智能豐富調查和檢測工作,并提供Microsoft的威脅智能流��,使你能夠運用自己的威脅智能��。
連接到所有數據
若要載入Azure Sentinel����,首先需要連接到安全源。Azure Sentinel隨附許多適用于Microsoft解決方案的開箱即用的連接器��,提供實時集成�����,包括Microsoft 365 Defender(之前稱為Microsoft威脅防護)解決方案����、Microsoft 365源(包括Office 365)���、Azure AD、Microsoft Defender for Identity(之前稱為Azure ATP)和Microsoft Cloud App Security等�����。此外�,內置的連接器可以拓寬非Microsoft解決方案的安全生態(tài)系統(tǒng)。也可以使用常用事件格式Syslog或REST-API將數據源與Azure Sentinel相連接����。
備注
此服務支持Azure Lighthouse;通過它�����,服務提供商可登錄自己的租戶來管理客戶委托的訂閱和資源組��。
工作簿
將數據源連接到Azure Sentinel后����,可以使用Azure Sentinel與Azure Monitor工作簿的集成來監(jiān)視數據,這在創(chuàng)建自定義工作簿方面提供了多樣性��。雖然工作簿在Azure Sentinel中的顯示方式有所不同,但可能有助于你了解如何使用Azure Monitor工作簿創(chuàng)建交互式報表���。Azure Sentinel可讓你跨數據創(chuàng)建自定義工作簿�,并且還附帶了內置的工作簿模板�����,使你可以在連接數據源后快速獲得對數據的見解���。
Analytics
為了幫助降低干擾并盡量減少需要檢查和調查的警報數目���,Azure Sentinel使用分析將警報關聯到事件���。事件是相關警報的分組�����,它們共同創(chuàng)建了可以調查和解決的�、可處理的可能威脅��?���?梢园丛瓨邮褂脙戎玫年P聯規(guī)則�,也可以使用它們作為起點來生成自己的關聯規(guī)則��。Azure Sentinel還提供機器學習規(guī)則用于映射網絡行為�����,然后查找不同資源中的異常��。這些分析通過將有關不同實體的低保真度警報合并成潛在的高保真度安全事件�,來關聯問題點。
安全自動化和業(yè)務流程
將常見任務自動化���,并使用可與Azure服務和現有工具集成的Playbook來簡化安全業(yè)務流程�����。Azure Sentinel的自動化和業(yè)務流程解決方案構建在Azure邏輯應用的基礎之上�����,提供高度可擴展的體系結構���,當新的技術和威脅出現時��,它可以實現可縮放的自動化���。若要使用Azure邏輯應用生成Playbook,可以從不斷擴充的內置Playbook庫中進行選擇���。這些Playbook包括適用于Azure Functions等服務的200多個連接器����。使用連接器可在代碼��、ServiceNow��、Jira��、Zendesk����、HTTP請求���、Microsoft Teams����、Slack、Windows Defender ATP和Cloud App Security中應用任何自定義邏輯����。
例如,如果使用ServiceNow票證系統(tǒng)�����,可以使用提供的工具通過Azure邏輯應用自動執(zhí)行工作流�,并在每次檢測到特定的事件時在ServiceNow中開具票證。
調查
目前以預覽版提供的Azure Sentinel深入調查工具可幫助你了解潛在安全威脅的范圍并找到根本原因��?���?稍诮换ナ綀D形中選擇一個實體以提出有關特定實體的問題,然后向下鉆取到該實體及其連接��,以獲取威脅的根本原因�。
搜尋
根據MITRE框架使用Azure Sentinel的強大搜尋式搜索和查詢工具,可以在觸發(fā)警報之前���,主動搜尋組織的不同數據源中的安全威脅���。發(fā)現哪個搜尋式查詢可以提供有關潛在攻擊的寶貴見解后����,還可以基于該查詢創(chuàng)建自定義檢測規(guī)則���,并將這些見解作為警報傳達給安全事件響應者����。搜尋時可為相關事件創(chuàng)建書簽�,以便將來可以再次找到這些事件、將其與他人共享����,并將其與其他相關事件分組到一起,以創(chuàng)建令人關注的事件方便調查��。
社區(qū)
Azure Sentinel社區(qū)提供有關威脅檢測和自動化的強有力資源���。Microsoft安全分析師會不斷創(chuàng)建和添加新的工作簿��、Playbook、搜尋式查詢及其他資源���,并將其發(fā)布到社區(qū)�,供你在環(huán)境中使用?���?梢詮膫€人社區(qū)GitHub存儲庫下載示例內容,以創(chuàng)建適用于Azure Sentinel的自定義工作簿��、搜尋式查詢�、Notebook和Playbook。
立即登錄���,閱讀全文
版權說明:
本文內容來自于Microsoft����,本站不擁有所有權����,不承擔相關法律責任。文章內容系作者個人觀點���,不代表快出海對觀點贊同或支持��。如有侵權�,請聯系管理員(zzx@kchuhai.com)刪除�����!
閩公網安備 35010202001226號
