了解事件

对组织的技术相关威胁称为事件。事件管理是从事件创建到深入调查再到解决的完整事件调查过程。 Microsoft Sentinel 可以帮助你的 IT 团队组织、调查和跟踪从创建到解决这一系列过程中的事件。

可以使用 Microsoft Sentinel 查看详细的事件信息、分配事件所有者、设置和维护事件严重性以及管理事件状态。 Microsoft Sentinel 提供了完整事件管理环境来处理这些步骤。

关键概念

了解以下重要的 Microsoft Sentinel 事件管理概念非常重要：

数据连接器。可以使用 Microsoft Sentinel 数据连接器来引入和收集与安全相关的服务中的数据。数据连接器可以从运行 Log Analytics 代理的 Linux 或 Windows 计算机、Linux Syslog 服务器（用于防火墙或代理之类的设备）或直接从 Microsoft Azure 服务中收集事件。这些事件转发到与 Microsoft Sentinel 关联的 Log Analytics 工作区。
事件。 Microsoft Sentinel 将事件存储在 Log Analytics 工作区中。这些事件包含希望 Microsoft Sentinel 监视的与安全相关的活动的详细信息。
分析规则。分析规则可检测重要的安全事件并生成警报。可以使用内置模板或使用针对 Microsoft Sentinel 中 Log Analytics 工作区的自定义 Kusto 查询语言 (KQL) 查询来创建分析规则。
警报。分析规则检测到重要的安全事件时，它们会生成警报。可以配置警报来生成事件。
事件。 Microsoft Sentinel 通过分析规则警报创建事件。事件可以包含多个相关警报。可以将每个事件用作调查环境中安全问题的起点和跟踪机制。

Microsoft Sentinel 中的事件管理从“概述”页面开始，你可以在其中查看当前 Microsoft Sentinel 环境。 “概述”页面显示最新事件的列表以及其他重要的 Microsoft Sentinel 信息。可以使用此页面可以在调查事件之前了解常规安全情况。