O que é o Microsoft Sentinel?

  • 6 minutos

Vamos começar com algumas definições e examinar os sistemas de SIEM (gerenciamento de eventos e informações de segurança) e o Microsoft Sentinel.

O que é o SIEM (gerenciamento de eventos e informações de segurança)?

Um sistema SIEM é uma ferramenta usada por uma organização para coletar, analisar e executar operações de segurança em seus sistemas de computador. Esses sistemas podem ser dispositivos de hardware, aplicativos ou ambos.

Na forma mais simples, um sistema de SIEM permite:

  • Colete e consulte os logs.
  • Use uma forma de detecção de anomalias ou correlação.
  • Crie alertas e incidentes com base em suas descobertas.

Um sistema SIEM pode oferecer funcionalidades como:

  • Gerenciamento de log: a capacidade de coletar, armazenar e consultar os dados de log dos recursos no seu ambiente.

  • Alertas: uma análise proativa dos dados de log para encontrar possíveis anomalias e incidentes de segurança.

  • Visualização: grafos e dashboards que fornecem insights visuais sobre os seus dados de log.

  • Gerenciamento de incidentes: a capacidade de criar, atualizar, atribuir e investigar incidentes que foram identificados.

  • Consulta de dados: uma linguagem de consulta avançada, semelhante à do gerenciamento de log, que você pode usar para consultar e entender seus dados.

O que é o Microsoft Sentinel?

O Microsoft Sentinel é um sistema de SIEM nativo de nuvem que uma equipe de operações de segurança pode usar para:

  • Obtenha insights de segurança em toda a empresa coletando dados de praticamente qualquer fonte.
  • Detectar e investigar ameaças rapidamente usando o aprendizado de máquina interno e a inteligência contra ameaças da Microsoft.
  • Automatizar as respostas às ameaças usando guias estratégicos e integração dos Aplicativos Lógicos do Azure.

Diferente das soluções de SIEM tradicionais, você não precisa instalar nenhum servidor local ou na nuvem para executar o Microsoft Sentinel. O Microsoft Sentinel é um serviço que você implanta no Azure. Você pode colocar o Sentinel em funcionamento em apenas alguns minutos no portal do Azure.

O Microsoft Sentinel está totalmente integrado a outros serviços de nuvem. Você não só pode ingerir logs com rapidez, como também pode usar outros serviços de nuvem nativamente (por exemplo, autorização e automação).

O Microsoft Sentinel ajuda você a habilitar operações de segurança de ponta a ponta, incluindo coleta, detecção, investigação e resposta:

Diagrama mostrando a funcionalidade de ponta a ponta do Microsoft Sentinel.

Vamos dar uma olhada nos principais componentes do Microsoft Sentinel.