初识 Azure Sentinel

1. 啥是SIEM

SIEM 解决方案可存储和分析其他系统生成的日志、事件和警报，用户可以配置这些解决方案以触发其警报。 简单点就是SIEM 解决方案可存储和分析从外部来源引入的日志数据。

2. 啥是Azure Sentinel

Azure Sentinel 提供有助于分析和可视化这些事件的默认仪表板。 仪表板显示与已接收事件数、根据该数据生成的警报数，以及根据这些警报创建的任意事件的状态相关的数据。Azure Sentinel是Azure的云原生SIEM解决方案

3. Azure Sentinel具体干了啥？

• 收集数据：在云规模上跨所有用户、设备、应用程序和基础结构（在本地和多个云中）收集数据，日志信息
• 检测：利用 Microsoft 的分析和威胁情报来检测以前发现的威胁 
• 调查：借助AI调查威胁并大规模主动搜索可疑的活动
• 响应：通过内置编排来自动化响应事件

4. log Analytics

Azure Sentinel实在Azure 数据，从monitor log analytics平台基础上构建的，log analytics是个分析平台，存储和分析大量的数据，使用kusto查询语句，用户可以拼接聚合数据，进而来进行分析

5 连接数据：

Sentinel支持和多个行业解决方案连接器。例如防火墙，终端安全。。。就是说接入三方的收集数据。通过data connectors 数据连接器 ，来连接数据源

6 检测威胁

连接数据后的下一步是识别可疑活动和威胁，可使用内置的模板，这个是微软的安全团队设计的，用户也可以自定义模板，搜出自己感兴趣的活动

 

 7. 调查事件

事件是根据analytics页面定义的警报创建的，用户可以调查检测到的威胁和整个事件，查看状态，整个的管理。

 

8. 响应威胁

 playbooks 是响应的一组过程，可以是手动或者自动的。例如：可以设置一个警报，用于搜索访问你的网络的恶意 IP 地址，并触发行动手册以实时停止攻击。