Compartilhar via

O que é o Microsoft Sentinel?

O Microsoft Sentinel é um SIEM (Gerenciamento de Eventos e Informações de Segurança) nativo da nuvem e uma plataforma de segurança unificada para defesa agente. Para atender às demandas das ameaças complexas de hoje, o Microsoft Sentinel evoluiu de um SIEM tradicional para um SIEM e uma plataforma - estendendo-se além de controles estáticos, baseados em regras e resposta pós-violação para fornecer uma base de dados pronta para IA que transforma a telemetria em um grafo de segurança, padroniza o acesso aos agentes e coordena ações autônomas, mantendo os humanos no comando da estratégia e investigações de alto impacto.

Como SIEM, o Microsoft Sentinel fornece segurança controlada por IA em ambientes multinuvem e multiplataforma, oferecendo recursos robustos para detecção de ameaças, investigação, busca, resposta e interrupção automatizada de ataque. Como plataforma, o Microsoft Sentinel fornece uma base criada em um data lake moderno para profundas análises, recursos de grafos para análise contextual, um servidor MCP (Protocolo de Contexto de Modelo) hospedado para ferramentas preparadas para agentes e recursos de desenvolvedor para criar e implantar soluções por meio da Loja de Segurança.

Este artigo fornece uma visão geral do Microsoft Sentinel e seus principais componentes. Ele explica como o Microsoft Sentinel ajuda as equipes de operações de segurança a detectar e responder a ameaças e adaptar-se continuamente unificando dados, automatizando respostas e derivando insights orientados por IA.

AI-first, SIEM de ponta a ponta e plataforma de segurança

Este diagrama ilustra a abordagem AI-first da plataforma de segurança e SIEM de ponta-a-ponta do Microsoft Sentinel, destacando seus principais componentes e sua integração com o Microsoft Security Copilot.

Um diagrama que ilustra o SIEM de ponta a ponta e a plataforma de segurança da IA do Microsoft Sentinel.

Microsoft Sentinel SIEM

A solução SIEM do Microsoft Sentinel nativa da nuvem fornece segurança alimentada por IA em ambientes multinuvem e multiplataforma. Ele fornece recursos abrangentes para detecção de ameaças, investigação, resposta e busca proativa, dando às equipes de segurança uma visão unificada de sua empresa.

O SIEM do Microsoft Sentinel está disponível no portal do Microsoft Defender – para clientes com ou sem o Defender XDR ou uma licença E5 – oferecendo uma experiência de operações de segurança unificada. Essa integração simplifica os fluxos de trabalho, melhora a visibilidade e ajuda os analistas a responder com mais rapidez e precisão a ameaças cada vez mais complexas.

A integração do Microsoft Sentinel SIEM com o portal do Defender e o Security Copilot cria um ecossistema avançado que aprimora as operações de segurança. O Security Copilot permite que os analistas interajam com dados do Microsoft Sentinel usando linguagem natural, gerem consultas de busca e automatizem investigações, tornando a resposta a ameaças mais rápida e acessível.

Para obter mais informações, consulte o que é o SIEM do Microsoft Sentinel?.

Conectores de dados

Colete dados em toda a sua propriedade digital onde quer que os dados residam, incluindo todos os usuários, dispositivos, aplicativos e infraestrutura, localmente e em várias nuvens:

  • Mais de 350 conectores de dados pré-configurados com suporte para soluções de segurança de primeira parte e de terceiros e plataformas em nuvem

  • Uma experiência interna de gerenciamento de tabelas que simplifica a seleção de armazenamento de dados, dando suporte à colocação em camadas nas camadas analítica e do data lake.

  • Os dados ingeridos na camada de análise são automaticamente espelhados na camada data lake, garantindo que a camada data lake permaneça o repositório central e unificado para todos os dados de segurança.

  • Opções de conectores personalizados e sem necessidade de programação

  • Normalização de dados para converter várias fontes em uma exibição uniforme e normalizada

Para obter mais informações, consulte conectores de dados do Microsoft Sentinel.

Componentes principais da plataforma Microsoft Sentinel

Data lake do Microsoft Sentinel

O Data Lake do Microsoft Sentinel é um data lake totalmente gerenciado e nativo de nuvem criado para operações de segurança. Ele unifica, retém e analisa dados de segurança em escala, fornecendo a base para análise avançada, insights controlados por IA e defesa agente.

Criado para permitir flexibilidade e profundidade, o data lake dá suporte à análise multimodal, incluindo consultas Kusto, análise de relacionamento baseada em grafo, MML (Linguagem de Modelagem da Microsoft), agentes do Security Copilot e notebooks da plataforma IA no Visual Studio Code – tudo isso em uma só cópia de dados de formato aberto.

Com o armazenamento econômico e a retenção de longo prazo, as equipes de segurança podem investigar ameaças persistentes, enriquecer alertas com contexto histórico e criar linhas de base comportamentais usando meses de dados, sem a sobrecarga da infraestrutura tradicional.

Os principais recursos do Data Lake do Microsoft Sentinel incluem:

  • Centraliza logs do Microsoft 365, Defender, Azure, Microsoft Entra, Microsoft Purview, Microsoft Intune e mais de 350 conectores de dados - incluindo o Amazon Web Services (AWS) e o Google Cloud Platform (GCP) - para eliminar silos de dados.

  • Otimiza os custos desassociando a ingestão de dados da análise, para que você possa armazenar grandes volumes de dados de segurança e aplicar os mecanismos analíticos mais eficazes para tarefas como busca de ameaças, detecção de anomalias e investigações forenses profundas.

  • Habilita a análise multi modal em uma única cópia de dados de formato aberto usando consultas Kusto, trabalhos agendados e notebooks alimentados por IA no Visual Studio Code – nenhuma configuração de infraestrutura necessária.

Para obter mais informações, consulte o que é o data lake do Microsoft Sentinel?.

Gráfico do Microsoft Sentinel

O grafo do Microsoft Sentinel fornece funcionalidade unificada de análise de grafo modelando e analisando relações complexas entre ativos, identidades, atividades e inteligência contra ameaças. Ele permite que os agentes do Microsoft Defenders e da IA raciocinam sobre dados interconectados, oferecendo insights mais profundos e resposta mais rápida a ameaças cibernéticas.

Os principais recursos do Microsoft Sentinel Graph incluem:

  • Análises unificadas baseadas em grafo que alimentam experiências internas em segurança, conformidade, identidade e o ecossistema de Segurança da Microsoft.
  • Modelagem de relação do mundo real que usa nós e bordas para representar usuários, dispositivos, recursos de nuvem, fluxos de dados e ações de invasor.
  • Raciocínio avançado de ameaças para ajudar os Defenders a responder perguntas complexas, como quais caminhos vulneráveis um invasor pode levar de uma entidade comprometida para um ativo crítico.
  • Defesa de ponta a ponta com suporte para cenários de pré-violação e pós-violação, usando grafos interconectados no Microsoft Defender e no Microsoft Purview.

Para obter mais informações, consulte o que é o grafo do Microsoft Sentinel?.

Servidor de protocolo de contexto de modelo (MCP) do Microsoft Sentinel

O servidor MCP do Microsoft Sentinel fornece uma interface unificada e hospedada que permite que as equipes de segurança interajam com os dados de segurança usando a linguagem natural e criem agentes de segurança inteligentes sem instalação de infraestrutura ou conectores personalizados. Essa integração simplifica a exploração e a automação de dados, tornando as operações de segurança orientadas por IA mais acessíveis e eficazes.

Os principais recursos do servidor MCP do Microsoft Sentinel incluem:

  • Uma interface hospedada que usa Microsoft Entra para identidade e oferece suporte a clientes compatíveis para operações de IA integradas.
  • Ferramentas de segurança de linguagem natural, incluindo ferramentas focadas em cenários para consulta e raciocínio no data lake do Microsoft Sentinel sem conhecimento ou codificação de esquema.
  • Criação acelerada de agente pela qual os engenheiros podem criar agentes de segurança personalizados usando linguagem natural, reduzindo o esforço manual e acelerando a automação.
  • A integração nativa com o data lake do Microsoft Sentinel permite uma engenharia de contexto avançada sem comprometer a cobertura ou o custo dos dados.

Para obter mais informações, consulte O que é o suporte do Microsoft Sentinel para o PROTOCOLO MCP (Model Context Protocol)?.

Experiência do desenvolvedor do Microsoft Sentinel

O Microsoft Sentinel oferece amplas funcionalidades para que os parceiros criem soluções impactantes que possam publicar por meio da Microsoft Security Store ou do Hub de Conteúdo SIEM do Microsoft Sentinel. A criação com base no Microsoft Sentinel permite que você dê suporte a novos cenários usando uma ampla gama de dados de segurança, recursos de processamento e experiências de IA, sem a necessidade de novos pipelines, mecanismos de computação ou infraestrutura de armazenamento.

Por exemplo, os parceiros podem criar, empacotar e publicar:

  • Conteúdo do SIEM do Microsoft Sentinel, como conectores, regras analíticas, consultas de busca e guias estratégicos.
  • Conteúdo da plataforma Microsoft Sentinel, como conectores, trabalhos do Jupyter Notebook para analisar os dados e agentes que correlacionam esses dados com o conteúdo do lake existente. Em seguida, o agente pode interagir com outros pontos de extremidade e aplicativos externos para fornecer aos clientes uma experiência unificada poderosa.

Para obter mais informações, consulte Criar e publicar soluções do Microsoft Sentinel.

Introdução

Para começar a usar a plataforma Microsoft Sentinel e o SIEM, confira:

  • Last updated on