O que é o Microsoft Sentinel?

  • 6 minutos

Vamos começar com algumas definições e uma olhada nos sistemas de gerenciamento de eventos e informações de segurança (SIEM) e no Microsoft Sentinel.

O que é o gerenciamento de eventos e informações de segurança (SIEM)?

Um sistema SIEM é uma ferramenta utilizada por uma organização para recolher, analisar e executar operações de segurança nos sistemas informáticos. Esses sistemas podem ser aplicações de hardware, aplicações ou ambos.

Na sua forma mais simples, um sistema SIEM permite-lhe:

  • Recolher e consultar registos.
  • Realizar algum tipo de correlação ou deteção de anomalias.
  • Criar alertas e incidentes com base nas descobertas.

Um sistema SIEM pode oferecer funcionalidades como:

  • Gerenciamento de logs: a capacidade de coletar, armazenar e consultar os dados de log de recursos em seu ambiente.

  • Alerta: uma análise proativa dentro dos dados de log em busca de possíveis incidentes e anomalias de segurança.

  • Visualização: gráficos e painéis que fornecem informações visuais sobre seus dados de log.

  • Gerenciamento de incidentes: a capacidade de criar, atualizar, atribuir e investigar incidentes identificados.

  • Consultando dados: uma linguagem de consulta avançada, semelhante à do gerenciamento de logs, que você pode usar para consultar e entender seus dados.

O que é o Microsoft Sentinel?

O Microsoft Sentinel é um sistema SIEM nativo da nuvem que uma equipe de operações de segurança pode usar para:

  • Obter informações de segurança em toda a empresa ao recolher dados de praticamente qualquer origem.
  • Detetar e investigar ameaças rapidamente com machine learning incorporado e informações sobre ameaças da Microsoft.
  • Automatizar as respostas a ameaças ao utilizar o manual de procedimentos e ao integrar o Azure Logic Apps.

Ao contrário das soluções SIEM tradicionais, você não precisa instalar nenhum servidor no local ou na nuvem para executar o Microsoft Sentinel. O Microsoft Sentinel é um serviço que você implanta no Azure. Pode começar a trabalhar com o Sentinel dentro de apenas alguns minutos no portal do Azure.

O Microsoft Sentinel está totalmente integrado com outros serviços na nuvem. Não só pode ingerir rapidamente registos, como também pode utilizar outros serviços cloud nativamente (por exemplo, autorização e automatização).

O Microsoft Sentinel ajuda você a habilitar operações de segurança de ponta a ponta, incluindo coleta, deteção, investigação e resposta:

Diagrama mostrando a funcionalidade de ponta a ponta do Microsoft Sentinel.

Vamos dar uma olhada nos principais componentes do Microsoft Sentinel.