O que é o Microsoft Sentinel?
O Microsoft Sentinel é um gerenciamento de informações e eventos de segurança escalonável (SIEM) e nativo da nuvem que oferece uma solução inteligente e abrangente para SIEM e orquestração, automação e resposta de segurança (SOAR). O Microsoft Sentinel fornece detecção, investigação, resposta e caça proativa de ameaças cibernéticas, com uma visão panorâmica de toda a sua empresa.
O Microsoft Sentinel também incorpora nativamente serviços comprovados do Azure, como Log Analytics e Logic Apps, e enriquece sua investigação e detecção com IA. Ele usa o fluxo de inteligência contra ameaças da Microsoft e também permite que você traga sua própria inteligência contra ameaças.
Use o Microsoft Sentinel para aliviar o estresse de ataques cada vez mais sofisticados, volumes crescentes de alertas e longos prazos de resolução. Este artigo destaca os principais recursos no Microsoft Sentinel.
Importante
O Microsoft Sentinel já está em disponibilidade geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para versão prévia, o Microsoft Sentinel está disponível no portal do Defender sem uma licença do E5 ou o Microsoft Defender XDR. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.
O Microsoft Sentinel herda as práticas de prova de adulteração e imutabilidade do Azure Monitor. Embora o Azure Monitor seja uma plataforma de dados somente acréscimo, ele inclui provisionamentos para excluir dados para fins de conformidade.
Esse serviço dá suporte ao Azure Lighthouse, que permite que os provedores de serviços entrem no próprio locatário para gerenciar assinaturas e grupos de recursos delegados pelos clientes.
Habilitar conteúdo de segurança pronto para uso
O Microsoft Sentinel fornece conteúdo de segurança empacotado em soluções SIEM que permitem ingerir dados, monitorar, alertar, caçar, investigar, responder e conectar-se a diferentes produtos, plataformas e serviços.
Para saber mais, confira Sobre o conteúdo e soluções do Microsoft Azure Sentinel.
Colete dados em escala
Colete dados de todos os usuários, dispositivos, aplicativos e infraestrutura, tanto no local quanto em diversas nuvens.
A tabela a seguir destaca os principais recursos do Microsoft Sentinel para coleta de dados.
Capacidade | Descrição | Introdução |
---|---|---|
Conectores de dados prontos para uso | Muitos conectores são fornecidos com soluções SIEM para Microsoft Sentinel e fornecem integração em tempo real. Esses conectores incluem fontes da Microsoft e do Azure, como Microsoft Entra ID, Azure Activity, Azure Storage e muito mais. Conectores prontos para uso também estão disponíveis para ecossistemas mais amplos de segurança e aplicativos para soluções que não são da Microsoft. Também é possível usar o formato de evento comum, o Syslog ou a API REST para conectar suas fontes de dados ao Microsoft Sentinel. |
Conectores de dados do Microsoft Azure Sentinel |
Conectores personalizados | O Microsoft Sentinel dá suporte à ingestão de dados de algumas fontes sem um conector dedicado. Se você não conseguir conectar sua fonte de dados ao Microsoft Sentinel usando uma solução existente, crie seu próprio conector de fonte de dados. | Recursos para criar conectores personalizados do Microsoft Sentinel. |
Normalização de dados | O Microsoft Sentinel usa o tempo de consulta e a normalização do tempo de ingestão para traduzir várias fontes em uma exibição uniforme e normalizada. | Normalização e o ASIM (Modelo de Informação de Segurança Avançado) |
Detectar ameaças
Detecte ameaças que ainda não foram descobertas e minimize falsos positivos usando a análise e a inteligência contra ameaças incomparáveis da Microsoft.
A tabela a seguir destaca os principais recursos do Microsoft Sentinel para detecção de ameaças.
Capacidade | Descrição | Introdução |
---|---|---|
Análise | Ajuda a reduzir o ruído e a minimizar o número de alertas que você precisa analisar e investigar. O Microsoft Sentinel usa análises para agrupar alertas em incidentes. Use as regras analíticas prontas para uso como estão ou como ponto de partida para criar suas próprias regras. O Microsoft Sentinel também fornece regras para mapear o comportamento da sua rede e, em seguida, procurar anomalias nos seus recursos. Essas análises ligam os pontos, pois combinam alertas de baixa fidelidade sobre diferentes entidades em possíveis incidentes de segurança de alta fidelidade. | Detectar ameaças rapidamente |
Cobertura do MITRE ATT&CK | O Microsoft Sentinel analisa os dados ingeridos, não apenas para detectar ameaças e ajudá-lo a investigar, mas também para visualizar a natureza e a cobertura do status de segurança da sua organização com base nas táticas e técnicas da estrutura MITRE ATT&CK®. | Entenda a cobertura de segurança da estrutura MITRE ATT&CK |
Inteligência contra ameaças | Integre diversas fontes de inteligência sobre ameaças ao Microsoft Sentinel para detectar atividades maliciosas em seu ambiente e fornecer contexto aos investigadores de segurança para decisões de resposta informadas. | Inteligência contra ameaças cibernéticas no Microsoft Sentinel |
Watchlists | Correlacione dados de uma fonte de dados fornecida por você, uma lista de observação, com os eventos em seu ambiente Microsoft Sentinel. Por exemplo, você pode criar uma watchlist com uma lista de ativos de alto valor, funcionários demitidos ou contas de serviço em seu ambiente. Use watchlists em sua pesquisa, regras de detecção, busca de ameaças e guias estratégicos de resposta. | Watchlists no Microsoft Sentinel |
Pastas de trabalho | Crie relatórios visuais interativos usando pastas de trabalho. O Microsoft Sentinel vem com modelos de pasta de trabalho integrados que permitem obter rapidamente insights sobre seus dados assim que você conecta uma fonte de dados. Ou crie suas próprias pastas de trabalho personalizadas. | Visualize os dados coletados. |
Investigar ameaças
Investigue ameaças com inteligência artificial e busque por atividades suspeitas em escala, acessando anos de trabalho sobre segurança cibernética na Microsoft.
A tabela a seguir destaca os principais recursos do Microsoft Sentinel para detecção de ameaças.
Recurso | Descrição | Introdução |
---|---|---|
Incidentes | As ferramentas de investigação profunda do Microsoft Sentinel ajudam a entender o escopo e a encontrar a causa raiz de uma possível ameaça à segurança. Você pode escolher uma entidade no gráfico interativo para fazer perguntas interessantes para uma entidade específica, além de fazer uma busca detalhada nessa entidade e em suas conexões para chegar à causa raiz da ameaça. | Navegar e investigar incidentes no Microsoft Sentinel |
Caças | As poderosas ferramentas de pesquisa e consulta do Microsoft Sentinel, baseadas na estrutura MITRE, permitem que você procure proativamente ameaças à segurança nas fontes de dados da sua organização, antes que um alerta seja acionado. Crie regras de detecção personalizadas com base na consulta de busca. Em seguida, exponha esses insights como alertas para os respondentes de incidentes de segurança. | Busca por ameaças no Microsoft Sentinel |
Notebooks | O Microsoft Sentinel dá suporte a notebooks Jupyter em workspaces do Azure Machine Learning, incluindo bibliotecas completas para machine learning, visualização e análise de dados. Use notebooks no Microsoft Sentinel para estender o escopo do que você pode fazer com os dados do Microsoft Sentinel. Por exemplo: Execute análises que não são internas ao Microsoft Sentinel, como alguns recursos de aprendizado de máquina do Python. Crie visualizações de dados que não são internas ao Microsoft Sentinel, como linhas do tempo personalizadas e árvores de processos. - Integre de fontes de dados de fora do Microsoft Sentinel, como um conjunto de dados local. |
Jupyter notebooks com recursos de busca do Microsoft Sentinel |
Responder a incidentes rapidamente
Automatize as tarefas comuns e simplifique a orquestração de segurança com guias estratégicos que se integram aos serviços do Azure e às ferramentas existentes. A solução de automação e orquestração do Microsoft Sentinel oferece uma arquitetura altamente extensível que possibilita a automação escalonável à medida que surgem novas tecnologias e ameaças.
Os guias estratégicos no Microsoft Sentinel são baseados em fluxos de trabalho internos nos Aplicativos Lógicos do Azure. Por exemplo, se você usar o sistema de emissão de tíquetes do ServiceNow, use os Aplicativos Lógicos do Azure a fim de automatizar os fluxos de trabalho e abra um tíquete no ServiceNow cada vez que um alerta ou incidente específico for gerado.
A tabela a seguir destaca os principais recursos do Microsoft Sentinel para detecção de ameaças.
Recurso | Descrição | Introdução |
---|---|---|
Regras de automação | Gerencie centralmente a automação do tratamento de incidentes no Microsoft Sentinel, definindo e coordenando um pequeno conjunto de regras que abrangem diferentes cenários. | Automatizar a resposta a ameaças no Microsoft Sentinel com regras de automação |
Guias estratégicos | Automatize e orquestre sua resposta a ameaças usando manuais, que são um conjunto de ações de correção. Execute um guia estratégico sob demanda ou automaticamente em resposta a alertas ou incidentes específicos, quando acionado por uma regra de automação. Para criar manuais com os Aplicativos Lógicos do Azure, escolha entre uma galeria de conectores em constante expansão para vários serviços e sistemas, como ServiceNow, Jira e muito mais. Esses conectores permitem que você aplique qualquer lógica personalizada ao fluxo de trabalho. |
Automatizar a resposta a ameaças com guias estratégicos no Microsoft Sentinel Lista de todos os conectores dos Aplicativos Lógicos |