這幾年來,許多廠商想透過人工智慧,分析資安事件管理系統(SIEM)收取的事件記錄,找出真正需要處理的問題。而自去年年底開始,陸續出現了所謂的資安事件自動化調度與回應系統(SOAR),主要的訴求不只能找出威脅,還要自動因應已知型態的事件。而微軟也在今年2月跟進,推出Azure Sentinel,以預覽版型式提供測試,並於9月上旬在臺發表。

Azure Sentinel是結合SOAR自動化機制的SIEM系統,可透過大數據行為分析,主動防堵潛在的資安風險,並且基於他們本身提供的巨量資料所建立的機器學習模型,歸納出事件記錄之間的關聯,以及列出事件處理的優先順序,宣稱能藉此減少90%無效警示通知。

同時,這款產品也整合微軟本身收集的情資,亦即智慧型資安圖學資料庫(Intelligent Security Graph),並能原生支援自家雲端服務及系統軟體,管理者只要稍加設定,就能快速收取事件記錄且加以解析──包含Office 365、Azure AD、Cloud App Security,以及Microsoft Defender ATP,也能接收企業內部的網域名稱伺服器,以及Windows的防火牆或安全性事件內容。

在高度整合自家產品之餘,Azure Sentinel可與其他廠牌資訊系統串連,透過Syslog協定來接收CEF格式的事件資料。而在11月推出的更新,微軟針對多家廠牌網路設備或是防護系統,提供連接器,讓用戶輕易完成相關設定──例如,Cisco、Check Point、F5、Fortinet,以及Palo Alto的防火牆或網路設備,以及趨勢Deep Security、One Identity Safeguard、ExtraHop Reveal(x)等防護系統。至於其他雲端服務的部分,這裡也提供AWS專用連接器。

在威脅情資的運用,Azure Sentinel支援多種來源。對於資安事件調查與分工,這裡也提供自動觸發網址的檢測,並可整合ServiceNow等工單系統。

產品資訊

微軟Azure Sentinel

●原廠:微軟
●建議售價:廠商未提供
●事件記錄格式支援:CEF
●支援分析資料來源:防火牆、DLP設備、威脅情資、DNS主機、Linux伺服器、雲端服務、網域伺服器、Windows安全性事件
●資料收取管道:API、代理程式
●威脅情資格式支援:TAXII

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容