Che cos'è Microsoft Azure Sentinel?
Microsoft Sentinel è una soluzione scalabile nativa del cloud che offre:
- Soluzione SIEM (Security information and event management)
- Orchestrazione della sicurezza, automazione e risposta (SOAR)
Microsoft Sentinel offre funzionalità intelligenti estese all'intera azienda per l'analisi della sicurezza e l'intelligence sulle minacce. Con Microsoft Sentinel si ottiene una singola soluzione per il rilevamento degli attacchi, la visibilità delle minacce, la ricerca proattiva e la risposta alle minacce.
Microsoft Sentinel è la visione d'occhio dell'azienda, riducendo lo stress di attacchi sempre più sofisticati, aumentando volumi di avvisi e lunghi intervalli di tempo di risoluzione.
Nota
Microsoft Sentinel eredita le procedure di manomissione e immutabilità di Monitoraggio di Azure. Anche se Monitoraggio di Azure è una piattaforma dati di sola accodamento, include il provisioning per eliminare i dati a scopo di conformità.
Raccogliere dati su scala cloud per tutti gli utenti, i dispositivi, le applicazioni e l'infrastruttura, in locale e in più cloud.
Rilevare minacce non rilevate in precedenza e ridurre al minimo i falsi positivi usando l'analisi di Microsoft e l'intelligence sulle minacce senza precedenti.
Analizzare le minacce con l'intelligenza artificiale e cercare attività sospette su larga scala, sfruttando anni di lavoro sulla sicurezza informatica presso Microsoft.
Rispostarapida agli eventi imprevisti con funzionalità integrate di orchestrazione e automazione delle attività comuni.
Microsoft Sentinel incorpora in modo nativo servizi di Azure collaudati, ad esempio Log Analytics e App per la logica. Microsoft Sentinel arricchisce l'indagine e il rilevamento con l'intelligenza artificiale. Fornisce il flusso di intelligence sulle minacce di Microsoft e consente di usare la propria intelligence sulle minacce.
Nota
Questo servizio supporta Azure Lighthouse, che consente ai provider di servizi di accedere al proprio tenant per gestire le sottoscrizioni e i gruppi di risorse che i clienti hanno delegato.
Raccogliere dati usando i connettori dati
Per eseguire la connessione a Microsoft Sentinel, è prima necessario connettersi alle origini dati.
Microsoft Sentinel include molti connettori per soluzioni Microsoft che sono disponibili in modo predefinito e offrono l'integrazione in tempo reale. Alcuni di questi connettori includono:
Origini Microsoft come Microsoft Defender XDR, Microsoft Defender per il cloud, Office 365, Microsoft Defender per IoT e altro ancora.
Origini dei servizi di Azure come Microsoft Entra ID, Attività di Azure, Archiviazione di Azure, Azure Key Vault, servizio Azure Kubernetes e altro ancora.
Microsoft Sentinel include connettori predefiniti per gli ecosistemi di sicurezza e applicazioni più ampi per soluzioni non Microsoft. È anche possibile usare il formato di evento comune, Syslog o l'API REST per connettere le origini dati con Microsoft Sentinel.
Per altre informazioni, vedere gli articoli seguenti:
Creare report interattivi usando cartelle di lavoro
Dopo aver eseguito l'onboarding in Microsoft Sentinel, monitorare i dati usando l'integrazione con le cartelle di lavoro di Monitoraggio di Azure.
Le cartelle di lavoro vengono visualizzate in modo diverso in Microsoft Sentinel rispetto a Monitoraggio di Azure. Può tuttavia essere utile vedere come creare una cartella di lavoro in Monitoraggio di Azure. Microsoft Sentinel consente di creare cartelle di lavoro personalizzate per tutti i dati. Microsoft Sentinel include anche modelli di cartella di lavoro predefiniti per ottenere rapidamente informazioni dettagliate sui dati non appena si connette un'origine dati.
Le cartelle di lavoro sono destinate a tecnici e analisti SOC di tutti i livelli per visualizzare i dati.
Le cartelle di lavoro sono usate in modo ottimale per le visualizzazioni di alto livello dei dati di Microsoft Sentinel e non richiedono conoscenze di codifica. Tuttavia, non è possibile integrare cartelle di lavoro con dati esterni.
Correlare gli avvisi in eventi imprevisti usando le regole di analisi
Per ridurre il rumore e ridurre al minimo il numero di avvisi da esaminare e analizzare, Microsoft Sentinel usa l'analisi per correlare gli avvisi in eventi imprevisti. Gli eventi imprevisti sono gruppi di avvisi correlati che insieme indicano una possibile minaccia praticabile che è possibile analizzare e risolvere. È possibile usare le regole di correlazione predefinite così come sono o come punto di partenza per crearne di personalizzate. Microsoft Sentinel fornisce anche regole di Machine Learning per mappare il comportamento di rete e quindi cercare le anomalie in tutte le risorse. Queste funzionalità di analisi mettono assieme tutte le tessere del puzzle, combinando gli avvisi con un basso livello di affidabilità relativi a entità diverse in potenziali eventi imprevisti della sicurezza di affidabilità elevata.
Automatizzare e orchestrare le attività comuni usando i playbook
È possibile automatizzare le attività comuni e semplificare l'orchestrazione della sicurezza con playbook che si integrano con i servizi di Azure e con gli strumenti esistenti.
La soluzione di automazione e orchestrazione di Microsoft Sentinel offre un'architettura altamente estendibile che consente un'automazione scalabile con l'emergere di nuove tecnologie e minacce Per creare playbook con App per la logica di Azure, è possibile scegliere tra una raccolta in continua espansione con molte centinaia di connettori per vari servizi e sistemi. Questi connettori consentono di applicare qualsiasi logica personalizzata nel flusso di lavoro, ad esempio:
- ServiceNow
- Jira
- Zendesk
- Richieste HTTP
- Microsoft Teams
- Slack
- Microsoft Entra ID
- Microsoft Defender per endpoint
- Microsoft Defender for Cloud Apps
Se ad esempio si usa il sistema di creazione di ticket ServiceNow, è possibile usare App per la logica di Azure per automatizzare i flussi di lavoro e aprire un ticket in ServiceNow ogni volta che viene rilevato un avviso o un evento imprevisto specifico.
I playbook sono destinati a tecnici e analisti SOC di tutti i livelli, per automatizzare e semplificare le attività, tra cui inserimento, arricchimento, analisi e correzione dei dati.
I playbook funzionano meglio con singole attività ripetibili e non richiedono conoscenze di codifica. I playbook non sono adatti per catene di attività ad hoc o complesse o per documentare e condividere prove.
Esaminare l'ambito e la causa radice delle minacce alla sicurezza
Gli strumenti di analisi approfondita di Microsoft Sentinel consentono di comprendere l'ambito e individuare la causa radice di una potenziale minaccia alla sicurezza. È possibile scegliere un'entità nel grafico interattivo per porre domande interessanti per una specifica entità, oltre che eseguire il drill-down nell'entità e nelle relative connessioni per risalire alla causa radice della minaccia.
Cercare le minacce alla sicurezza usando query predefinite
Usare i potenti strumenti di ricerca e query di Microsoft Sentinel, basati sul framework MITRE, che consentono di cercare in modo proattivo le minacce alla sicurezza nelle origini dati dell'organizzazione, prima che venga attivato un avviso. Creare regole di rilevamento personalizzate in base alla query di ricerca. Mostrare quindi queste informazioni dettagliate come avvisi ai risponditori degli eventi imprevisti di sicurezza.
Durante la ricerca, creare segnalibri per tornare agli eventi interessanti in un secondo momento. Usare un segnalibro per condividere un evento con altri utenti. In alternativa, raggruppare eventi con altri eventi correlati per creare un evento imprevisto interessante per l'analisi.
Migliorare la ricerca delle minacce con i notebook
Microsoft Sentinel supporta i notebook Jupyter nelle aree di lavoro Azure Machine Learning, incluse librerie complete per Machine Learning, visualizzazione e analisi dei dati.
Usare i notebook in Microsoft Sentinel per estendere l'ambito delle operazioni che è possibile eseguire con i dati di Microsoft Sentinel. Ad esempio:
- Eseguire analisi non integrate in Microsoft Sentinel, ad esempio alcune funzionalità di Machine Learning python.
- Creare visualizzazioni dei dati non incorporate in Microsoft Sentinel, ad esempio sequenze temporali personalizzate e alberi di elaborazione.
- Integrare origini dati all'esterno di Microsoft Sentinel, ad esempio un set di dati locale.
I notebook sono destinati a operatori di ricerca minacce o analisti di livello 2-3, investigatori di eventi imprevisti, data scientist e ricercatori della sicurezza. Richiedono una curva di apprendimento superiore e conoscenze di scrittura del codice. Offrono un supporto limitato per l'automazione.
I notebook in Microsoft Sentinel includono:
- Query su dati di Microsoft Sentinel ed esterni
- Funzionalità per l'arricchimento dei dati, l'indagine, la visualizzazione, la ricerca, Machine Learning e l'analisi dei Big Data
I notebook sono ideali per:
- Catene più complesse di attività ripetibili
- Controlli procedurali ad hoc
- Machine Learning e analisi personalizzata
I notebook supportano librerie Python avanzate per la modifica e la visualizzazione dei dati. Sono utili per documentare e condividere prove di analisi.
Scaricare il contenuto di sicurezza dalla community
La community di Microsoft Sentinel è una risorsa potente per il rilevamento delle minacce e l'automazione. Gli analisti della sicurezza Microsoft creano e aggiungono continuamente nuovi playbook, cartelle di lavoro, query di ricerca e altre soluzioni. Pubblicano questi elementi di contenuto nella community e possono essere usati nel proprio ambiente. Scaricare il contenuto di esempio dal repository GitHub della community privata per creare cartelle di lavoro personalizzate, cercare query, notebook e playbook per Microsoft Sentinel.
Passaggi successivi
- Per iniziare a usare Microsoft Sentinel, è necessaria una sottoscrizione a Microsoft Azure. Se non si ha una sottoscrizione, è possibile iscriversi per ottenere una versione di valutazione gratuita.
- Informazioni su come eseguire l'onboarding dei dati in Microsoft Sentinel e ottenere visibilità sui dati e sulle potenziali minacce.