什么是 Azure Sentinel？

小提示：您能找到这篇{什么是 Azure Sentinel？}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的什么是 Azure Sentinel？内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

< ">Microsoft Azure Sentinel是可缩放的云原生安全信息事件管理(SIEM)和安全业务流程自动响应(SOAR)解决方案。Azure Sentinel在整个企业范围内提供智能安全分析和威胁智能，为警报检测、威胁可见性、主动搜寻和威胁响应提供单一解决方案。

< ">Azure Sentinel是整个企业的鸟瞰视图，可以缓解日益复杂的攻击、不断增加的警报数量以及长时间解决时间帧带来的压力。

< ">跨所有用户、设备、应用程序和基础结构（包括本地和多个云）以云规模收集数据。

< ">检测以前未检测到的威胁，并使用Microsoft的分析和无与伦比的威胁智能，最大限度地减少误报。

< ">借助人工智能调查威胁，结合Microsoft多年以来的网络安全工作经验大规模搜寻可疑活动。

< ">通过内置的业务流程和常见任务自动化快速响应事件。

< ">Azure Sentinel基于现有的各种Azure服务，原生集成了经过证实的基础服务，例如Log Analytics和逻辑应用。Azure Sentinel可以借助人工智能丰富调查和检测工作，并提供Microsoft的威胁智能流，使你能够运用自己的威胁智能。

< ">连接到所房地产危机公关活动有数据

< ">若要载入Azure Sentinel，首先需要连接到安全源。Azure Sentinel随附许多适用于Microsoft解决方案的开箱即用的连接器，提供实时集成，包括Microsoft 365 Defender（之前称为Microsoft威胁防护）解决方案、Microsoft 365源（包括Office 365）、Azure AD、Microsoft Defender for Identity（之前称为Azure ATP）和Microsoft Cloud App Security等。此外，内置的连接器可以拓宽非Microsoft解决方案的安全生态系统。也可以使用常用事件格式Syslog或REST-API将数据源与Azure Sentinel相连接。

< ">备注

< ">此服务支持Azure Lighthouse；通过它，服务提供商可登录自己的租户来管理客户委托的订阅和资源组。

< ">工作簿

< ">将数据源连接到Azure Sentinel后，可以使用Azure Sentinel与Azure Monitor工作簿的集成来监视数据，这在创建自定义工作簿方面提供了多样性。虽然工作簿在Azure Sentinel中的显示方式有所不同，但可能有助于你了解如何使用Azure Monitor工作簿创建交互式报表。Azure Sentinel可让你跨数据创建自定义工作簿，并且还附带了内置的工作簿模板，使你可以在连接数据源后快速获得对数据的见解。

< ">Analytics

< ">为了帮助降低干扰并尽量减少需要检查和调查的警报数目，Azure Sentinel使用分析将警报关联到事件。事件是相关警报的分组，它们共同创建了可以调查和解决的、可处理的可能威胁。可以按原样使用内置的关联规则，也可以使用它们作为起点来生成自己的关联规则。Azure Sentinel还提供机器学习规则用于映射网络行为，然后查找不同资源中的异常。这些分析通过将有关不同实体的低保真度警报合并成潜在的高保真度安全事件，来关联问题点。

< ">安全自动化和业务流程

< ">将常见任务自动化，并使用可与Azure服务和现有工具集成的Playbook来简化安全业务流程。Azure Sentinel的自动化和业务流程解决方案构建在Azure逻辑应用的基础之上，提供高度可扩展的体系结构，当新的技术和威胁出现时，它可以实现可缩放的自动化。若要使用Azure逻辑应用生成Playbook，可以从不断扩充的内置Playbook库中进行选择。这些Playbook包括适用于Azure Functions等服务的200多个连接器。使用连接器可在代码、ServiceNow、Jira、Zendesk、HTTP请求、Microsoft Teams、Slack、Windows Defender ATP和Cloud App Security中应用任何自定义逻辑。

< ">例如，如果使用ServiceNow票证系统，可以使用提供的工具通过Azure逻辑应用自动执行工作流，并在每次检测到特定的事件时在ServiceNow中开具票证。

< ">调查

< ">目前以预览版提供的Azure Sentinel深入调查工具可帮助你了解潜在安全威胁的范围并找到根本原因。可在交互式图形中选择一个实体以提出有关特定实体的问题，然后向下钻取到该实体及其连接，以获取威胁的根本原因。

< ">搜寻

< ">根据MITRE框架使用Azure Sentinel的强大搜寻式搜索和查询工具，可以在触发警报之前，主动搜寻组织的不同数据源中的安全威胁。发现哪个搜寻式查询可以提供有关潜在公司网站的开发攻击的宝贵见解后，还可以基于该查询创建自定义检测规则，并将这些见解作为警报传达给安全事件响应者。搜寻时可为相关事件创建书签，以便将来可以再次找到这些事件、将其与他人共享，并将其与其他相关事件分组到一起，以创建令人关注的事件方便调查。

< ">社区

< ">Azure Sentinel社区提供有关威胁检测和自动化的强有力资源。Microsoft安全分析师会不断创建和添加新的工作簿、Playbook、搜寻式查询及其他资源，并将其发布到社区，供你在环境中使用。可以从个人社区GitHub存储库下载示例内容，以创建适用于Azure Sentinel的自定义工作周杰伦危机公关满分簿、搜寻式查询、Notebook和Playbook。