Che cos'è Microsoft Sentinel?

  • 6 minuti

Per iniziare verranno fornite alcune definizioni e presentati i sistemi di informazioni e gestione degli eventi di sicurezza (SIEM) e Microsoft Sentinel.

Che cos'è un sistema di informazioni di sicurezza e gestione degli eventi (SIEM - Security Information and Event Management)?

Un sistema SIEM è uno strumento che un'organizzazione usa per raccogliere, analizzare ed eseguire operazioni di sicurezza nei sistemi. Questi sistemi possono essere appliance hardware, applicazioni o entrambi.

Nella sua forma più semplice, un sistema SIEM consente di:

  • Raccogliere ed eseguire query sui log.
  • Eseguire qualche tipo di correlazione o rilevamento di anomalie.
  • Creare avvisi ed eventi imprevisti in base agli elementi individuati.

Un sistema SIEM può offrire le funzionalità seguenti:

  • Gestione dei log: possibilità di raccogliere, archiviare ed eseguire query sui dati di log delle risorse all'interno dell'ambiente.

  • Generazione di avvisi: ricerca proattiva nei dati di log di potenziali eventi imprevisti e anomalie correlati alla sicurezza.

  • Visualizzazione: grafici e dashboard che offrono informazioni dettagliate visive sui dati dei log.

  • Gestione degli eventi imprevisti: possibilità di creare, aggiornare, assegnare ed esaminare gli eventi imprevisti identificati.

  • Query sui dati: un linguaggio di query avanzato, simile a quello per la gestione dei log, che è possibile usare per eseguire query e comprendere i dati.

Che cos'è Microsoft Sentinel?

Microsoft Sentinel è un sistema SIEM nativo del cloud che consente ai team operativi che si occupano di sicurezza di:

  • Ottenere informazioni dettagliate sulla sicurezza per tutta l'azienda raccogliendo i dati praticamente da qualsiasi origine.
  • Rilevare e analizzare rapidamente le minacce con le funzionalità predefinite di Machine Learning e di intelligence sulle minacce di Microsoft.
  • Automatizzare le risposte alle minacce con i playbook e l'integrazione di App per la logica di Azure.

Diversamente dalle soluzioni SIEM tradizionali, per eseguire Microsoft Sentinel non è necessario installare alcun server in locale o nel cloud. Microsoft Sentinel è un servizio distribuito in Azure. È possibile attivare e iniziare a usare Sentinel in pochi minuti nel portale di Azure.

Microsoft Sentinel è strettamente integrato con altri servizi cloud. Non solo è possibile inserire rapidamente i log, ma è anche possibile usare altri servizi cloud in modo nativo, ad esempio l'autorizzazione e l'automazione.

Microsoft Sentinel consente di gestire operazioni di sicurezza end-to-end, tra cui raccolta, rilevamento, analisi e risposta:

Diagramma che illustra le funzionalità end-to-end di Microsoft Sentinel.

Verranno ora esaminati i componenti principali di Microsoft Sentinel.