微軟推出雲端原生安全資訊和事件管理(Security Information and Event Management,SIEM)服務Azure Sentinel正式版,讓企業可以在不同規模的工作負載上,進行智慧安全分析。

雲端與傳統本地端SIEM的差異之一在於靈活性,本地端SIEM需要企業自己維護基礎設施以及軟體,而雲端SIEM則沒有這些困擾,且用戶可以依需求擴展使用規模以及儲存容量。微軟在今年二月的時候,釋出了Azure Sentinel預覽版,而在之後收到了12,000個用戶回饋,為此微軟更新了Azure Sentinel並加入了許多新功能,現在釋出正式版本。

Azure Sentinel內建了許多微軟與非微軟的安全資料,用戶只要透過點擊就可以啟用這些內建的資料,增加Azure Sentinel的安全防護能力,而第三方連接器列表現加入更多的微軟服務連接器,讓Azure Sentinel用戶可以跨數位資產,更完整地收集與分析資料。工作簿能以視覺化管理資料,用戶可以直接使用或是修改既存的工作簿,或是自己重新創建。

用戶可以直接使用Azure Sentinel內建的100多個警報規則,來過濾安全威脅,或是使用新的警報引導精靈來創建自己的警報規則,警報規則可以由單個事件觸發,或是基於閾值、關聯不同資料集,甚至是內建的機器學習演算法來觸發。

正式版Azure Sentinel增加了兩種新的機器學習方法,讓用戶不需要擁有機器學習的知識,就可以使用現成的機器學習模型,來辨識微軟身份驗證服務中的可疑登入行為,發現惡意的SSH存取,這個機器學習模型,是微軟使用現有的機器模型,並結合遷移學習技術,讓Azure Sentinel能以單一資料集訓練模型,就能獲得偵測異常行為能力。

另外,微軟還使用融合機器學習技術連接多個來源的資料,像是Azure AD異常登入和可疑的Office 365活動等資料,以偵測散布在服務鏈上不同威脅。

微軟還強化了Azure Sentinel掌握安全威脅的能力,新添加的調查圖(Investigation Graph),用戶可以視覺化並走訪各實體,包括帳戶、資產、應用程式或是URL,以及其相關的活動,像是登入、資料轉移或是應用程式使用,以快速了解安全事故的影響範圍。

Azure Sentinel新增行動和劇本功能,使用了Azure Logic Apps服務,簡化事故自動化和修補的程序,用戶可以發送電子郵件以驗證行動,並封鎖可疑的帳戶,或隔離Windows的機器。


Advertisement

更多 iThome相關內容