Forrester Research在2020第四季度的安全分析平台报告中将微软Azure Sentinel评为“领导者”，这是“战略”类别中的最高级别。

        微软Azure Sentinel是一个可扩展的、云原生的安全信息事件管理(SIEM)和安全业务流程自动响应(SOAR)解决方案。Azure Sentinel为整个企业提供智能安全分析和威胁情报，为警报检测、威胁可见性、主动搜索和威胁响应提供统一解决方案。

        云纷作为专业安全运营服务商，将安全运营中心以及为M365 E5、Azure Sentinel产品量身定做的安全托管服务相结合，推出MS X CF产品服务组合并为组织定制安全托管服务,帮助企业打造安全可靠、简单易用、经济高效的网络安全环境。

        Azure Sentinel可以以俯瞰企业的角度，帮助减轻日益复杂的攻击、不断增加的警报数量和较长解决时间框架所带来的压力。作为云原生 SIEM，Azure Sentinel 可以轻松部署、扩展和使用。企业可以在云范围内，在本地或多云中，跨云收集、关联和分析用户、设备、应用程序和基础架构数据。

        在现有Azure服务的基础上，Azure Sentinel整合了一些经过验证的基础服务，比如日志分析和逻辑应用。Azure Sentinel利用人工智能丰富调查和检测工作，并可提供微软的威胁信息集合，帮助拥有企业自己的威胁情报。

        使用Azure Sentinel，首先需要将它连接到安全源。

       Azure Sentinel提供了许多用于微软解决方案的连接器，可开箱即用并提供实时集成，包括Microsoft 365 Defender(以前的Microsoft Threat Protection)解决方案，以及Microsoft 365源代码，包括Office 365、Azure AD、Microsoft Defender for Identity(以前的Azure ATP)、以及微软云应用程序安全等。此外，还有针对非microsoft解决方案的、更广泛安全生态系统的内置连接器。用户也可以使用常见事件格式、Syslog或REST-API来将数据源与Azure Sentinel连接。

        将数据源连接到Azure Sentinel之后，就可以用Azure Sentinel与Azure Monitor 工作簿一起来监视数据，它在创建自定义工作簿方面提供了多样性。

        虽然工作簿在Azure Sentinel中的显示方式不同，但了解如何使用Azure Monitor工作簿来创建交互式报告是很有益的。Azure Sentinel允许创建跨数据的自定义工作簿，还带有内置的工作簿模板，可以在连接数据源时快速获取跨数据的见解。   

        为了帮助减少噪音和最小化必须审查和调查的警报数量，Azure Sentinel使用分析将警报关联到事件。事件是一组相关的警报，它们共同创建具有操作性的可能威胁，用户可以调查和解决这些威胁。使用内置的相关规则，或者将它们作为构建自己关联规则的起点。Azure Sentinel还可以提供机器学习规则来映射用户的网络行为，然后在用户的资源中查找异常情况。这些分析通过将不同实体的低保真度警报组合成潜在的高保真度安全事件，将这些问题点连接起来。

        将Azure服务和已有工具结合起来，可以自动化用户的常见任务并简化安全业务流程。

        Azure Sentinel的自动化和业务流程解决方案建立在Azure Logic Apps的基础上，提供了高度可扩展的架构。当新技术和威胁出现时，可以实现可扩展的自动化。要用Azure Logic Apps构建playbook，用户可以从不断增长的内置playbook库中选择。其中包括200多个用于Azure功能等服务的连接器。连接器允许用户在代码中应用任意的自定义逻辑，包括ServiceNow, Jira, Zendesk, HTTP请求，Microsoft Teams, Slack, Windows Defender ATP和云应用安全等。

        在目前的预览版中，Azure Sentinel深度调查工具可以帮助用户了解潜在安全威胁的范围并找到根本原因。用户可以在交互图中选择一个实体，并针对特定实体提出问题，然后向下钻取到该实体及其连接，以找到威胁的根源。

        基于MITRE框架使用Azure Sentinel强大的搜索和查询工具，使用户能够在触发警报之前，在组织的数据源中主动搜索安全威胁。在用户发现了任一搜索查询提供了对可能攻击的高价值意见后，还可以基于这个查询创建自定义检测规则，并将这些洞察作为警报提供给安全事件响应人员。在搜索时，用户可以为感兴趣的事件创建书签，以便稍后返回这些事件，可与他人共享这些事件，并将它们与其他相关事件进行分组，以创建一个引人注目的事件方便调查。

       Azure Sentinel支持在Azure机器学习工作空间中使用Jupyter笔记本，包括用于机器学习、可视化和数据分析。

        在Azure Sentinel中使用笔记本，从而扩展可以使用Azure Sentinel数据的范围。例如，执行Azure Sentinel中没有内置的分析功能，比如一些Python机器学习功能，创建Azure Sentinel中没有内置的数据可视化功能，比如自定义时间轴和进程树，或者集成Azure Sentinel之外的数据源，例如本地数据集。

        Azure Sentinel社区是一个强大的威胁检测和自动化资源。微软安全分析师不断地创建和添加新的工作簿、剧本、搜索查询等资源，并将它们发布到社区，供用户在自己的环境中使用。用户可以从私有社区GitHub存储库下载示例内容，为Azure Sentinel创建自定义工作簿、搜索查询、笔记本和剧本。

        Azure Sentinel将云和大规模智能投入使用，借助人工智能让威胁检测变得更快、更智能。云纷基于自有安全运营中心（SOC），将M365 E5、Azure Sentinel与安全托管服务相结合，为企业安全打下坚实基础、垒起坚强保障。

        根据在Gartner发布的评论认为，Azure Sentinel可以为几乎所有内容创建警报规则。只要连接了数据连接器并输入日志，就可无穷无尽地进行规则分析。像所有 SIEM 一样，根据环境配置和调整所有规则确实需要时间，但完成之后，就能非常好地运行。

        最喜欢的必须是分析规则创建、狩猎查询和剧本。将三者结合，就可以自动化大部分 SIEM 事件。所有这些每天都会发生的重复事件，可以通过创建抑制规则或剧本来执行操作，实现完全自动化。Playbooks 提供了大量的操作，还没有发现我们不能用它们做的事情。

        不喜欢的是支持、测试分析规则和解析功能。除非我们最终知道他们在与什么样的人交谈，否则支持都不是很好。老实说，Tier1和Tier2有时几乎不知道他们在做什么。测试分析规则并不容易，如果最终创建了一些测试数据，也不能直接触发规则，必须等待指定的时间才能运行计划查询，或者也可以禁用并再次启用它以使其触发。解析并不是产品真正的缺点，但这或多或少是我的弱点和我不喜欢的东西。我在 KQL 方面很不错，但是在解析方面，我确实需要时间才能完全达到期望。

**参考来源：

微软：

https://docs.microsoft.com/en-us/azure/sentinel/overview 

https://www.microsoft.com/security/blog/2020/12/01/azure-sentinel-achieves-a-leader-placement-in-forrester-wave-with-top-ranking-in-strategy/

Gartner：

https://www.gartner.com/reviews/market/security-information-event-management/vendor/microsoft/product/azure-sentinel/review/view/3810958#sub-head

胖头鱼综合编译，如有转载，请注明出处，感谢配合~