ما تعريف Microsoft Sentinel؟
Microsoft Sentinel هو معلومات أمان وإدارة أحداث قابلة للتطوير وسحابة أصلية (SIEM) تقدم حلا ذكيا وشاملا ل SIEM وتنسيق الأمان والأتمتة والاستجابة (SOAR). يوفر Microsoft Sentinel الكشف عن التهديدات الإلكترونية والتحقيق والاستجابة والتتبع الاستباقي، مع عرض شامل عبر مؤسستك.
يتضمن Microsoft Sentinel أيضا في الأصل خدمات Azure المثبتة، مثل Log Analytics وLogic Apps، ويثري التحقيق والكشف الخاص بك مع الذكاء الاصطناعي. ويستخدم كلا من دفق المعلومات الذكية للمخاطر من Microsoft كما يمكنك من إحضار التحليل الذكي للمخاطر الخاصة بك.
استخدم Microsoft Sentinel للتخفيف من ضغط الهجمات المتطورة بشكل متزايد، وزيادة حجم التنبيهات، والإطارات الزمنية طويلة الدقة. تسلط هذه المقالة الضوء على الإمكانات الرئيسية في Microsoft Sentinel.
هام
يتوفر Microsoft Sentinel بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. للمعاينة، يتوفر Microsoft Sentinel في مدخل Defender بدون Microsoft Defender XDR أو ترخيص E5. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.
يرث Microsoft Sentinel ممارسات تدقيق العبث وعدم قابلية التغيير في Azure Monitor. في حين أن Azure Monitor هو نظام أساسي للبيانات الملحقة فقط، فإنه يتضمن أحكاما لحذف البيانات لأغراض التوافق.
تدعم هذه الخدمة Azure Lighthouse، والتي تتيح لمقدمي الخدمة تسجيل الدخول إلى مستأجرهم لإدارة الاشتراكات ومجموعات الموارد التي فوضها العملاء.
تمكين محتوى أمان خارج الصندوق
يوفر Microsoft Sentinel محتوى أمان مجمعا في حلول SIEM التي تمكنك من استيعاب البيانات والمراقبة والتنبيه والبحث والتحقيق والاستجابة والاتصال بالمنتجات والأنظمة الأساسية والخدمات المختلفة.
لمزيد من المعلومات، راجع حول محتوى وحلول Microsoft Sentinel.
جمع البيانات على نطاق واسع
جمع البيانات عبر جميع المستخدمين والأجهزة والتطبيقات والبنية الأساسية، سواء على المستوى المحلي أو في سحابات متعددة.
يسلط الجدول التالي الضوء على الإمكانات الرئيسية في Microsoft Sentinel لجمع البيانات.
| القدرة | الوصف | الشروع في العمل |
|---|---|---|
| موصلات البيانات الجاهزة | يتم حزم العديد من الموصلات مع حلول SIEM ل Microsoft Sentinel وتوفر التكامل في الوقت الحقيقي. تتضمن هذه الموصلات مصادر Microsoft ومصادر Azure مثل Microsoft Entra ID ونشاط Azure وتخزين Azure والمزيد. تتوفر الموصلات الجاهزة أيضا للأنظمة البنائية للأمان والتطبيقات الأوسع للحلول غير التابعة لـ Microsoft. يمكنك أيضًا استخدام تنسيق الحدث الشائع أو Syslog أو REST-API لتوصيل مصادر البيانات الخاصة بك بـ Microsoft Sentinel. |
موصلات بيانات Microsoft Azure Sentinel |
| الموصلات المخصصة | يدعم Microsoft Sentinel استيعاب البيانات من بعض المصادر دون موصل مخصص. إذا لم تتمكن من توصيل مصدر البيانات ب Microsoft Sentinel باستخدام حل موجود، فأنشئ موصل مصدر البيانات الخاص بك. | موارد لإنشاء موصلات مخصصة ل Microsoft Sentinel. |
| تسوية البيانات | يستخدم Microsoft Sentinel كل من وقت الاستعلام وتسوية وقت الاستيعاب لترجمة مصادر مختلفة إلى طريقة عرض موحدة تمت تسويتها. | التطبيع ونموذج معلومات الأمان المتقدم (ASIM) |
اكتشاف المخاطر
الكشف عن التهديدات التي لم يتم الكشف عنها مسبقًا وتقليلالإيجابيات المزيفةباستخدام تحليلات Microsoft وتحليل ذكي للمخاطر التي لا مثيل لها.
يسلط الجدول التالي الضوء على الإمكانات الرئيسية في Microsoft Sentinel للكشف عن التهديدات.
| السعة | الوصف | الشروع في العمل |
|---|---|---|
| التحليلات | يساعدك على تقليل الضوضاء وتقليل عدد التنبيهات التي يجب عليك مراجعتها والتحقيق فيها. يستخدم Microsoft Sentinel التحليلات لتجميع التنبيهات في الحوادث. استخدم قواعد التحليل الجاهزة كما هي، أو كنقطة بداية لبناء قواعدك الخاصة. يوفر Microsoft Sentinel أيضًا قواعد لرسم خريطة لسلوك الشبكة لديك ثم البحث عن الخلل عبر مواردك. تربط هذه التحليلات النقاط، من خلال الجمع بين تنبيهات الدقة المنخفضة حول الكيانات المختلفة في حوادث أمنية محتملة عالية الدقة. | الكشف عن التهديدات بسهولة |
| تغطية MITRE ATT&CK | يحلل Microsoft Sentinel البيانات التي تم استيعابها، ليس فقط للكشف عن التهديدات ومساعدتك في التحقيق، ولكن أيضا لتصور طبيعة وتغطية حالة أمان مؤسستك استنادا إلى التكتيكات والتقنيات من إطار عمل MITRE ATT&CK®. | فهم التغطية الأمنية بواسطة إطار عمل MITRE ATT&CK® |
| تحليل ذكي للمخاطر | دمج العديد من مصادر التحليل الذكي للمخاطر في Microsoft Sentinel للكشف عن النشاط الضار في بيئتك وتوفير سياق لمحققي الأمان لاتخاذ قرارات استجابة مستنيرة. | التحليل الذكي للمخاطر في Microsoft Sentinel |
| قوائم المشاهدة | ربط البيانات من مصدر بيانات توفره، وقائمة مراقبة، بالأحداث في بيئة Microsoft Sentinel. على سبيل المثال، يمكنك إنشاء قائمة مشاهدة مع قائمة بالأصول عالية القيمة أو الموظفين المنتهيين أو حسابات الخدمة في بيئتك. استخدم قوائم المشاهدة في كتيبات البحث وقواعد الاكتشاف والبحث عن التهديدات والاستجابة. | قوائم المشاهدة في Microsoft Sentinel |
| مصنفات | إنشاء تقارير مرئية تفاعلية باستخدام المصنفات. يأتي Microsoft Sentinel مزودا بقوالب مصنفات مضمنة تسمح لك باكتساب رؤى بسرعة عبر بياناتك بمجرد توصيل مصدر بيانات. أو أنشئ المصنفات المخصصة الخاصة بك. | تصور البيانات المجمعة. |
التحقيق في المخاطر
فحص التهديدات مع الذكاء الاصطناعي، والبحث عن الأنشطة المشبوهة على نطاق واسع والاستفادة من سنوات من العمل في مجال الأمن السيبراني في Microsoft.
يسلط الجدول التالي الضوء على الإمكانات الرئيسية في Microsoft Sentinel للتحقيق في التهديدات.
| ميزة | الوصف | الشروع في العمل |
|---|---|---|
| الحوادث | تساعدك أدوات التحقيق العميق لـ Microsoft Sentinel على فهم النطاق والعثور على السبب الجذري لتهديد أمني محتمل. يمكنك اختيار كيان على الرسم البياني التفاعلي لطرح أسئلة مثيرة للاهتمام لكيان معين، والتنقل لأسفل في هذا الكيان وعلاقاته للوصول إلى السبب الجذري للتهديد. | التنقل والتحقيق في الحوادث في Microsoft Sentinel |
| يطارد | تمكنك أدوات البحث والاستعلام القوية من Microsoft Sentinel، استنادا إلى إطار عمل MITRE، من البحث بشكل استباقي عن التهديدات الأمنية عبر مصادر بيانات مؤسستك، قبل تشغيل تنبيه. إنشاء قواعد الكشف المخصصة استنادًا إلى استعلام التتبع الخاص بك. بعد ذلك، اعرض هذه التحليلات كتنبيهات إلى المستجيبين للحوادث الأمنية. | تتبع التهديدات في Microsoft Sentinel |
| دفاتر الملاحظات | يدعم Microsoft Sentinel دفاتر Jupyter في مساحات عمل التعلم الآلي من Azure، بما في ذلك المكتبات الكاملة للتعلم الآلي والتصور وتحليل البيانات. استخدم دفاتر الملاحظات في Microsoft Azure Sentinel لتوسيع نطاق ما يمكنك القيام به باستخدام بيانات Microsoft Azure Sentinel. على سبيل المثال: - إجراء تحليلات غير مضمنة في Microsoft Sentinel، مثل بعض ميزات التعلم الآلي من Python. - إنشاء مرئيات البيانات غير المضمنة في Microsoft Sentinel، مثل المخططات الزمنية المخصصة وأشجار المعالجة. - دمج مصادر البيانات خارج Microsoft Sentinel، مثل مجموعة بيانات محلية. |
دفاتر ملاحظات Jupyter مع قدرات تتبع Microsoft Sentinel |
الاستجابة السريعة للأحداث
أتمتة المهام الشائعة الخاصة بك وتبسيط التزامن الأمني مع أدلة المبادئالتي تتكامل مع خدمات Azure إلى جانب أدواتك الحالية. يوفر الأتمتة والتزامن في Microsoft Sentinel بنية قابلة للتوسعة للغاية تمكن الأتمتة القابلة للتطوير مع ظهور تقنيات وتهديدات جديدة.
تستند أدلة المبادئ الأمنية في Microsoft Azure Sentinel إلى خدمة Azure Logic Apps. على سبيل المثال، إذا كنت تستخدم نظام تذاكر ServiceNow، فاستخدم Azure Logic Apps لأتمتة مهام سير العمل وفتح تذكرة في ServiceNow في كل مرة يتم فيها إنشاء تنبيه أو حادث معين.
يسلط الجدول التالي الضوء على الإمكانات الرئيسية في Microsoft Sentinel للاستجابة للتهديدات.
| ميزة | الوصف | الشروع في العمل |
|---|---|---|
| قواعد الأتمتة | إدارة أتمتة معالجة الحوادث مركزيا في Microsoft Sentinel من خلال تحديد وتنسيق مجموعة صغيرة من القواعد التي تغطي سيناريوهات مختلفة. | أتمتة الاستجابة للمخاطر في Microsoft Sentinel باستخدام قواعد التشغيل التلقائي |
| أدلة التشغيل | أتمتة الاستجابة للمخاطر وتنسيقها باستخدام أدلة المبادئ، وهي مجموعة من إجراءات المعالجة. قم بتشغيل دليل المبادئ عند الطلب أو تلقائيًا كاستجابة لتنبيهات أو حوادث معينة، عند تشغيلها بواسطة قاعدة أتمتة. لإنشاء أدلة مبادئ باستخدام Azure Logic Apps، اختر من بين معرض موصلات موسع باستمرار لخدمات وأنظمة مختلفة مثل ServiceNow وJira والمزيد. تسمح لك هذه الموصلات بتطبيق أي منطق مخصص في سير العمل الخاص بك. |
أتمتة الاستجابة للتهديدات باستخدام أدلة المبادئ في Microsoft Sentinel قائمة بجميع موصل التطبيق المنطقية |