Microsoft Azure – Azure Sentinel 简介

在本文中，我们将概述 Microsoft Azure Sentinel 及其功能。 Azure Sentinel 可帮助你快速检测、提醒、调查和解决 Azure 基础结构的安全事件。

让我们来看看它是什么以及如何使用它。在 Azure 门户中，我们可以通过在搜索栏中搜索 Azure Sentinel。

但在我们可以使用它之前，我们需要将它添加到 Azure Log Analytics 工作区。目前，我们还没有一个，如下所示：

要创建工作区，我们首先需要为工作区命名，然后选择现有资源组。我们还将更改工作区的位置。

这将为我们创建一个工作区，现在我们需要添加 Azure Sentinel。

下图显示了 Azure Sentinel 仪表板。它可以从许多来源收集数据，并针对安全事件和威胁进行分析。它提供了调查数据、创建警报和缓解安全威胁的工具。

让我们从连接数据源开始。有许多开箱即用的数据源可以连接。 Microsoft 数据源和 Amazon Web Services 等派对数据源。让我们连接我们的Active Directory。

连接它真的很简单，我们只需要点击两个连接按钮就可以了。

因此，现在 Azure Sentinel 可以访问 Azure Active Directory 中的数据。一段时间后，您会看到这里有更多事件，也许还有一些事件，尽管我们当前的订阅还没有任何事件。

我们可以在仪表板中可视化数据。在这里，我们可以从许多预先构建的仪表板中进行选择，例如这个Azure Active Directory 审计日志仪表板。让我们安装它，让我们看看它。

这显示了关于我们的 Azure Active Directory 活动的各种有趣的图表。

您可以使用仪表板等工具来更深入地了解您的安全数据。 Azure Sentinel 提供了更多工具来分析数据和识别安全事件。您可以使用如下所示的查询来寻找它们：

您还可以使用 Azure 笔记本来破坏数据并识别威胁。

您还可以为某些事件和事件设置警报。这有助于您在发生某些事情时迅速采取行动。

您还可以使用剧本自动执行缓解响应。 Playbook 是 Azure 逻辑应用，其中包含基于安全信息执行操作的工作流。当 Azure 安全中心有新建议时，Playbook 具有发送电子邮件等选项。

应用程序和基础架构的安全性对于正确处理非常重要。 Azure Sentinel 提供威胁检测和缓解服务，它可以帮助你在事件和威胁发生时检测它们，并帮助你尽可能有效地解决它们。