Azure Sentinel 是什么？

它是可缩放的云原生 安全信息事件管理 (SIEM)和 安全业务流程自动响应 (SOAR) 解决方案。

Azure Sentinel 在整个企业范围内提供智能安全分析和威胁智能告警服务，为警报的检测、威胁可见性、主动搜寻和威胁响应提供统一解决方案。

01 添加数据源

Azure Sentinel 随附许多适用于 Microsoft 解决方案的开箱即用的连接器，提供实时数据。此外，内置的连接器可以扩展非 Microsoft 解决方案的安全生态系统。也可以使用常用事件格式 Syslog 或 REST-API 将数据源与 Azure Sentinel 相连接。将数据源接入后我们就可以使用Azure Sentinel对接入的安全产品的数据进行分析。

将数据源连接到 Azure Sentinel 后，可以使用 Azure Sentinel 与 Azure Monitor 工作簿的集成来监视数据，这里为创建自定义工作簿提供了多样性。Azure Sentinel 可让您跨数据源创建自定义工作簿，并且还附带了大量内置的工作簿模板供您使用，使您可以在连接数据源后快速便捷的获取到分析结果。

为了帮助降低干扰并尽量减少需要检查和调查的警报数目，Azure Sentinel 使用分析将警报关联到事件。事件是相关警报的分组，它们共同组成了可以调查和解决潜在威胁的完整视图。可以使用内置的关联规则，也可以使用它们作为起点来创建自己的关联规则。

将常见任务自动化，并使用可与 Azure 服务和现有工具集成的 Playbook 来简化安全业务流程。Azure Sentinel 的自动化和业务流程解决方案构建在 Azure 逻辑应用的基础之上，当新的技术和威胁出现时，它能提供高度可扩展的体系结构。

05 主动搜寻威胁事件

根据 MITRE 框架使用 Azure Sentinel 的强大搜寻功能和查询工具，可以在触发警报之前，主动搜寻组织的不同数据源中的安全威胁。当发现哪个搜索查询可以提供有关潜在攻击的建议后，可以基于该查询创建自定义检测规则，也可以作为警报创建。