Beskriva funktioner för hotidentifiering och riskreducering i Microsoft Sentinel
Effektiv hantering av en organisations nätverkssäkerhetsperimeter kräver rätt kombination av verktyg och system. Microsoft Sentinel är en skalbar, molnbaserad SIEM/SOAR-lösning som levererar intelligent säkerhetsanalys och hotinformation i hela företaget. Det ger en enda lösning för upptäckt av cyberhot, undersökning, svar och proaktiv jakt, med en fågelperspektiv i hela företaget.
Det här diagrammet visar funktionerna från slutpunkt till slutpunkt i Microsoft Sentinel.
- Samla in data i molnskala för alla användare, enheter, program och infrastruktur, både lokalt och i flera moln.
- Identifiera tidigare upptäckta hot och minimera falska positiva identifieringar med hjälp av analys och oöverträffad hotinformation.
- Undersök hot med artificiell intelligens (AI) och jaga misstänkta aktiviteter i stor skala och utnyttja årtionden av cybersäkerhetsarbete på Microsoft.
- Svara snabbt på incidenter med inbyggd orkestrering och automatisering av vanliga säkerhetsuppgifter.
Microsoft Sentinel hjälper dig att aktivera säkerhetsåtgärder från slutpunkt till slutpunkt i ett modernt Security Operations Center (SOC).
Samla in data i stor skala
Samla in data för alla användare, enheter, program och infrastruktur, både lokalt och i flera moln. Följande är viktiga funktioner i Microsoft Sentinel för datainsamling.
Färdiga dataanslutningar – Många anslutningsappar paketeras med SIEM-lösningar för Microsoft Sentinel och tillhandahåller realtidsintegrering. Dessa anslutningsappar omfattar Microsoft-källor och Azure-källor som Microsoft Entra-ID, Azure Activity, Azure Storage med mera.
Färdiga anslutningsappar är också tillgängliga för de bredare ekosystemen för säkerhet och program för icke-Microsoft-lösningar. Du kan också använda vanligt händelseformat, Syslog eller REST-API för att ansluta dina datakällor till Microsoft Sentinel.
Anpassade anslutningsappar – Microsoft Sentinel stöder inmatning av data från vissa källor utan en dedikerad anslutningsapp. Om du inte kan ansluta datakällan till Microsoft Sentinel med hjälp av en befintlig lösning kan du skapa en egen anslutningsapp för datakällan.
Datanormalisering – Microsoft Sentinel matar in data från många källor. Det kan vara svårt att arbeta med och korrelera mellan olika typer av data under en undersökning och jakt. Microsoft Sentinel stöder ASIM (Advanced Security Information Model), som finns mellan dessa olika källor och användaren, för att underlätta enhetliga, normaliserade vyer.
Identifiera hot
Identifiera tidigare oupptäckta hot och minimera falska positiva identifieringar med hjälp av Microsofts analys och oöverträffad hotinformation. Följande är viktiga funktioner i Microsoft Sentinel för hotidentifiering.
Analys – Microsoft Sentinel använder analys för att gruppera aviseringar i incidenter. Använd analysreglerna i befintligt läge eller som utgångspunkt för att skapa egna regler. Microsoft Sentinel innehåller också regler för att mappa ditt nätverksbeteende och sedan söka efter avvikelser mellan dina resurser.
MITRE ATT&CK-täckning – Microsoft Sentinel analyserar inmatade data, inte bara för att identifiera hot och hjälpa dig att undersöka, utan även för att visualisera arten och täckningen av organisationens säkerhetsstatus baserat på taktik och tekniker från MITRE ATT&CK-ramverket®, en global databas med angreppstaktik och tekniker.
Hotinformation – Du kan integrera flera källor med hotinformation i Microsoft Sentinel för att identifiera skadlig aktivitet i din miljö och ge kontext till säkerhetsutredare för välgrundade svarsbeslut.
Visningslistor – Du kan korrelera data från en datakälla som du anger, en bevakningslista, med händelserna i din Microsoft Sentinel-miljö. Du kan till exempel skapa en visningslista med en lista över värdefulla tillgångar, avslutade anställda eller tjänstkonton i din miljö. Använd bevakningslistor i dina sök-, identifieringsregler, hotjakt och svarsspelböcker.
Arbetsböcker – Du kan skapa interaktiva visuella rapporter med hjälp av arbetsböcker. När du har anslutit datakällor till Microsoft Sentinel kan du övervaka data med hjälp av Microsoft Sentinel-integreringen med Azure Monitor-arbetsböcker. Microsoft Sentinel levereras med inbyggda arbetsboksmallar som gör att du snabbt kan få insikter i dina data. Du kan också skapa egna anpassade arbetsböcker.
Undersöka hot
Undersök hot med artificiell intelligens och jaga misstänkta aktiviteter i stor skala och utnyttja år av cybersäkerhetsarbete på Microsoft. Följande är viktiga funktioner i Microsoft Sentinel för hotundersökning.
Incidenter – Incidenter är dina ärendefiler som innehåller en sammanställning av alla relevanta bevis för specifika undersökningar. Varje incident skapas (eller läggs till) baserat på bevis (aviseringar) som antingen genererades av analysregler eller importerades från säkerhetsprodukter från tredje part som producerar sina egna aviseringar. Sidan med incidentinformation innehåller informations- och undersökningsverktyg som hjälper dig att förstå omfånget och hitta rotorsaken till ett potentiellt säkerhetshot.
Hunts – Med Microsoft Sentinels kraftfulla sök- och frågeverktyg för jakt, baserat på MITRE-ramverket, kan du proaktivt söka efter säkerhetshot i organisationens datakällor innan en avisering utlöses. När du har upptäckt vilken jaktfråga som ger värdefulla insikter om möjliga attacker kan du också skapa anpassade identifieringsregler baserat på din fråga och visa dessa insikter som aviseringar till dina säkerhetsincidenter.
Notebook-filer – Microsoft Sentinel stöder Jupyter Notebooks i Azure Machine Learning-arbetsytor. Jupyter Notebooks är ett webbprogram med öppen källkod som gör att användare kan skapa och dela dokument som innehåller livekod, ekvationer, visualiseringar och narrativ text.
Använd notebook-filer i Microsoft Sentinel för att utöka omfattningen för vad du kan göra med Microsoft Sentinel-data. Till exempel:
- Utför analyser som inte är inbyggda i Microsoft Sentinel, till exempel vissa Python-maskininlärningsfunktioner.
- Skapa datavisualiseringar som inte är inbyggda i Microsoft Sentinel, till exempel anpassade tidslinjer och processträd.
- Integrera datakällor utanför Microsoft Sentinel, till exempel en lokal datauppsättning.
Svara på incidenter snabbt
Med Microsoft Sentinel kan du automatisera dina vanliga uppgifter och förenkla säkerhetsorkestreringen med spelböcker som integreras med Azure-tjänster och dina befintliga verktyg för att snabbare kunna hantera incidenter.
Följande är viktiga funktioner i Microsoft Sentinel för hotsvar.
Automatiseringsregler – Hantera automatiseringen av incidenthantering centralt i Microsoft Sentinel genom att definiera och samordna en liten uppsättning regler som omfattar olika scenarier.
Spelböcker – Automatisera och samordna ditt hotsvar med hjälp av spelböcker, som är en samling reparationsåtgärder. Kör en spelbok på begäran eller automatiskt som svar på specifika aviseringar eller incidenter när den utlöses av en automatiseringsregel.
Spelböcker i Microsoft Sentinel baseras på arbetsflöden som skapats i Azure Logic Apps. Om du till exempel använder ServiceNow-biljettsystemet använder du Azure Logic Apps för att automatisera dina arbetsflöden och öppna ett ärende i ServiceNow varje gång en viss avisering eller incident genereras.
Aktivera out of the box-säkerhetsinnehåll
Microsoft Sentinel-innehåll refererar till SIEM-lösningskomponenter (Security Information and Event Management) som gör det möjligt för kunder att mata in data, övervaka, varna, jaga, undersöka, svara och ansluta med olika produkter, plattformar och tjänster. Innehållet i Microsoft Sentinel kan innehålla innehållstyper, till exempel: dataanslutningsprogram, arbetsböcker, analysregler, jaktfrågor, notebook-filer, visningslistor och spelböcker.
Microsoft Sentinel erbjuder dessa innehållstyper som lösningar och fristående objekt. Lösningar är paket med Microsoft Sentinel-innehåll eller Microsoft Sentinel API-integreringar som uppfyller ett produkt-, domän- eller bransch vertikalt scenario från slutpunkt till slutpunkt i Microsoft Sentinel. Både lösningar och fristående objekt kan identifieras och hanteras från innehållshubben.
Microsoft Sentinel-innehållshubben är din centraliserade plats för att identifiera och hantera färdiga (inbyggda) paketerade lösningar. Microsoft Sentinel-lösningar är paket med Microsoft Sentinel-innehåll eller Microsoft Sentinel API-integreringar som tillhandahåller distribution och aktivering i ett steg. Lösningar för innehållshubbar som uppfyller ett produkt-, domän- eller bransch vertikalt scenario från slutpunkt till slutpunkt i Microsoft Sentinel. Ett exempel på en domänspecifik, inbyggd, är Hantering av interna risker i Microsoft Purview som innehåller en dataanslutning, arbetsbok, analysregler, jaktfrågor och spelbok.
Microsoft Sentinel i Microsoft Defender-portalen
Microsoft Sentinel är en säkerhetstjänst som är aktiverad via Azure Portal. När Microsoft Sentinel-tjänsten är aktiverad kan du komma åt den via Azure Portal eller från Microsofts enhetliga säkerhetsåtgärdsplattform i Microsoft Defender-portalen.
Microsofts enhetliga säkerhetsåtgärdsplattform i Microsoft Defender-portalen samlar alla funktioner i Microsoft Sentinel, Microsoft Defender XDR och Microsoft Copilot i Microsoft Defender.
När du registrerar Microsoft Sentinel på Defender-portalen kan du förena funktioner med Microsoft Defender XDR som incidenthantering och avancerad jakt. Minska verktygsväxlingen och skapa en mer kontextfokuserad undersökning som påskyndar incidenthantering och stoppar överträdelser snabbare.
Detaljerad information om Microsoft Sentinel-upplevelsen i Microsoft Defender-portalen och hur du registrerar finns i avsnittet sammanfattning och resurser i den här modulen.