O que é o Microsoft Sentinel?

Microsoft Sentinel é uma plataforma de segurança unificada de Gestão de Informações e Eventos de Segurança (SIEM) nativa da cloud para defesa agente. Para satisfazer as exigências das ameaças complexas atuais, Microsoft Sentinel evoluiu de um SIEM tradicional para um SIEM e plataforma - estendendo-se para além dos controlos estáticos, baseados em regras e resposta pós-violação para fornecer uma base de dados pronta para IA, que transforma a telemetria num grafo de segurança, uniformiza o acesso dos agentes e coordena ações autónomas, mantendo os humanos no comando da estratégia e investigações de alto impacto.

Enquanto SIEM, o Microsoft Sentinel fornece segurança orientada por IA em ambientes multicloud e multiplataformas, oferecendo capacidades robustas para deteção de ameaças, investigação, investigação, resposta e interrupção automatizada de ataques. Como plataforma, o Microsoft Sentinel fornece uma base baseada num data lake moderno para informações aprofundadas, capacidades de gráficos para análise contextual, um servidor alojado do Protocolo de Contexto de Modelo (MCP) para ferramentas preparadas para agente e capacidades de programador para criar e implementar soluções através do Arquivo de Segurança.

Este artigo fornece uma descrição geral do Microsoft Sentinel e dos componentes principais. Explica como Microsoft Sentinel ajuda as equipas de operações de segurança a detetar e responder a ameaças e a adaptarem-se continuamente ao unificar dados, automatizar respostas e derivar informações orientadas por IA.

AI-first, plataforma de segurança e SIEM ponto a ponto

Este diagrama ilustra o Microsoft Sentinel SIEM de IA de primeira, ponto a ponto e plataforma de segurança, destacando os componentes principais e a integração com Microsoft Security Copilot.

Um diagrama que ilustra o Microsoft Sentinel SIEM de IA de primeira, ponto a ponto e plataforma de segurança.

Microsoft Sentinel SIEM

A solução SIEM de Microsoft Sentinel nativa da cloud fornece segurança com tecnologia de IA em ambientes multicloud e multiplataformas. Fornece capacidades abrangentes para deteção de ameaças, investigação, resposta e investigação proativa, proporcionando às equipas de segurança uma visão unificada da sua empresa.

Microsoft Sentinel SIEM está disponível no portal do Microsoft Defender - para clientes com ou sem Defender XDR ou uma licença E5 - oferecendo uma experiência de operações de segurança unificada. Esta integração simplifica os fluxos de trabalho, melhora a visibilidade e ajuda os analistas a responder de forma mais rápida e precisa a ameaças cada vez mais complexas.

A integração do Microsoft Sentinel SIEM com o portal do Defender e Security Copilot cria um ecossistema poderoso que melhora as operações de segurança. Security Copilot permite que os analistas interajam com Microsoft Sentinel dados com linguagem natural, gerem consultas de investigação e automatizam investigações, tornando a resposta a ameaças mais rápida e acessível.

Para obter mais informações, veja O que é Microsoft Sentinel SIEM?

Conectores de dados

Recolha dados em todo o património digital onde quer que os dados residam, incluindo todos os utilizadores, dispositivos, aplicações e infraestrutura, tanto no local como em várias clouds:

  • Mais de 350 conectores de dados disponíveis com suporte para soluções de segurança de primeiro e terceiros e plataformas na cloud

  • Uma experiência de gestão de tabelas incorporada que simplifica a seleção do armazenamento de dados, suportando a colocação em camadas nas camadas analíticas e do data lake.

  • Os dados ingeridos na camada de análise são automaticamente espelhados na camada do data lake, garantindo que a camada do data lake continua a ser o repositório central e unificado para todos os dados de segurança.

  • Opções de conectores personalizados e sem código

  • Normalização de dados para traduzir várias origens numa vista normalizada uniforme

Para obter mais informações, veja Microsoft Sentinel conectores de dados.

Componentes principais da plataforma Microsoft Sentinel

Microsoft Sentinel data lake

Microsoft Sentinel data lake é um data lake totalmente gerido e nativo da cloud criado para operações de segurança. Unifica, retém e analisa dados de segurança em escala, fornecendo a base para análises avançadas, informações orientadas por IA e defesa agente.

Concebido para flexibilidade e profundidade, o data lake suporta análises multimodal , incluindo consultas Kusto, análise de relações baseada em grafos, Linguagem de Modelação da Microsoft (MML), agentes Security Copilot e blocos de notas baseados em IA no Visual Studio Code, tudo numa única cópia dos dados em formato aberto.

Com o armazenamento económico e a retenção de longo prazo, as equipas de segurança podem investigar ameaças persistentes, enriquecer alertas com contexto histórico e criar linhas de base comportamentais com meses de dados, sem a sobrecarga da infraestrutura tradicional.

Microsoft Sentinel principais capacidades do Data Lake incluem:

  • Centraliza os registos do Microsoft 365, Defender, Azure, Microsoft Entra, Microsoft Purview, Microsoft Intune e mais de 350 conectores de dados – incluindo o Amazon Web Services (AWS) e o Google Cloud Platform (GCP) – para eliminar silos de dados.

  • Otimiza os custos ao desassociar a ingestão de dados da análise, para que possa armazenar grandes volumes de dados de segurança e aplicar os motores analíticos mais eficazes para tarefas como a investigação de ameaças, deteção de anomalias e investigações forenses profundas.

  • Ativa a análise multimodal numa única cópia de dados em formato aberto através de consultas Kusto, tarefas agendadas e blocos de notas baseados em IA no Visual Studio Code – não é necessária qualquer configuração de infraestrutura.

Para obter mais informações, consulte O que é Microsoft Sentinel data lake?

gráfico de Microsoft Sentinel

Microsoft Sentinel gráfico fornece capacidade de análise de grafos unificada ao modelar e analisar relações complexas entre recursos, identidades, atividades e informações sobre ameaças. Permite que os Microsoft Defenders e os agentes de IA se desconcentram sobre os dados interligados, oferecendo informações mais aprofundadas e uma resposta mais rápida às ameaças cibernéticas.

Microsoft Sentinel capacidades principais do grafo incluem:

  • Análise unificada baseada em grafos que potencia experiências incorporadas em segurança, conformidade, identidade e ecossistema de Segurança da Microsoft.
  • Modelação de relações no mundo real que utiliza nós e arestas para representar utilizadores, dispositivos, recursos da cloud, fluxos de dados e ações de atacante.
  • O raciocínio de ameaças melhorado para ajudar os Defenders a responder a perguntas complexas, como os caminhos vulneráveis que um atacante pode tomar de uma entidade comprometida para um recurso crítico.
  • Defesa ponto a ponto com suporte para cenários de pré-violação e pós-violação, utilizando gráficos interligados em Microsoft Defender e Microsoft Purview.

Para obter mais informações, consulte O que é Microsoft Sentinel gráfico?

Microsoft Sentinel servidor de protocolo de contexto de modelo (MCP)

Microsoft Sentinel servidor MCP fornece uma interface unificada e alojada que permite que as equipas de segurança interajam com dados de segurança através de linguagem natural e criem agentes de segurança inteligentes sem configuração de infraestrutura ou conectores personalizados. Esta integração simplifica a exploração e automatização de dados, tornando as operações de segurança orientadas por IA mais acessíveis e eficazes.

Microsoft Sentinel as principais capacidades do servidor MCP incluem:

  • Uma interface alojada que utiliza Microsoft Entra para identidade e suporta clientes compatíveis para operações de IA totalmente integradas.
  • Ferramentas de segurança de linguagem natural, incluindo ferramentas focadas em cenários para consultar e raciocinar sobre Microsoft Sentinel data lake sem conhecimentos de esquema ou codificação.
  • Criação acelerada de agentes através da qual os engenheiros podem criar agentes de segurança personalizados com linguagem natural, reduzindo o esforço manual e acelerando a automatização.
  • A integração nativa com o data lake do Microsoft Sentinel permite uma engenharia de contexto avançada sem comprometer a cobertura ou o custo dos dados.

Para obter mais informações, veja Qual é o suporte do Microsoft Sentinel para o Protocolo MCP (Model Context Protocol)?

Microsoft Sentinel experiência de programador

Microsoft Sentinel oferece funcionalidades extensas para os parceiros criarem soluções impactantes que podem publicar através da Microsoft Security Store ou do Microsoft Sentinel Hub de Conteúdos SIEM. Com base no Microsoft Sentinel permite-lhe suportar novos cenários através de uma vasta gama de dados de segurança, capacidades de processamento e experiências de IA, sem a necessidade de novos pipelines, motores de computação ou infraestrutura de armazenamento.

Por exemplo, os parceiros podem criar, empacotar e publicar:

  • Microsoft Sentinel conteúdo SIEM, como conectores, regras analíticas, consultas de investigação e manuais de procedimentos.
  • Microsoft Sentinel conteúdos da plataforma, como conectores, tarefas de blocos de notas do Jupyter para analisar os dados e agentes que correlacionam esses dados com os conteúdos do lake existentes. Em seguida, o agente pode interagir com outros pontos finais e aplicações externas para proporcionar aos clientes uma experiência unificada avançada.

Para obter mais informações, veja Criar e publicar soluções de Microsoft Sentinel.

Introdução

Para começar a utilizar a plataforma Microsoft Sentinel e o SIEM, veja:

  • Last updated on