什么是 Microsoft Sentinel？

Microsoft Sentinel 是云原生安全信息和事件管理（SIEM）和统一的安全平台，用于代理防御。 为了满足当今复杂威胁的需求，Microsoft Sentinel 已从传统的 SIEM 演变为 SIEM 和平台 -- 超越静态、基于规则的控制措施和违规后响应，提供一个 AI 就绪、数据优先的基础，可将遥测转换为安全图、标准化代理访问并协调自治作，同时使人类能够指挥策略和高影响调查。

作为 SIEM，Microsoft Sentinel 跨多云和多平台环境提供 AI 驱动的安全性，为威胁检测、调查、搜寻、响应和自动攻击中断提供强大的功能。 作为一个平台，Microsoft Sentinel 基于现代数据湖提供了下列功能的基础：深度见解、用于上下文分析的图形功能、面向智能体就绪工具的托管 模型上下文协议 (MCP) 服务器，以及通过安全应用商店构建和部署解决方案的开发者能力。

本文概述了 Microsoft Sentinel 及其核心组件。 其中介绍了Microsoft Sentinel 如何帮助安全运营团队检测和响应威胁，并通过统一数据、自动化响应和派生 AI 驱动的见解持续调整。

以AI为首的端到端SIEM与安全平台

此图演示了 Microsoft Sentinel 这款以 AI 为先的端到端 SIEM 和安全平台，重点介绍了其核心组件及其与 Microsoft Security Copilot 的集成。

Microsoft Sentinel SIEM

云原生 Microsoft Sentinel SIEM 解决方案在多云和多平台环境中提供由 AI 驱动的安全性。 它为威胁检测、调查、响应和主动搜寻提供了全面的功能，使安全团队能够统一地了解其企业。

Microsoft Sentinel SIEM 在 Microsoft Defender 门户中提供 - 适用于具有或没有 Defender XDR 或 E5 许可证的客户 - 提供统一的安全作体验。 此集成简化了工作流，增强了可见性，并有助于分析人员更快、更准确地响应日益复杂的威胁。

Microsoft Sentinel SIEM 集成到 Defender 门户和安全 Copilot，创造了一个强大的生态系统，增强了安全运营。 通过 Security Copilot，分析人员可以使用自然语言与 Microsoft Sentinel 数据交互，生成搜寻查询并自动执行调查，使威胁响应更快、更易于访问。

有关详细信息，请参阅 什么是Microsoft Sentinel SIEM？。

数据连接器

无论数据驻留在何处，都可以在整个数字资产收集数据，包括本地和多个云中的所有用户、设备、应用程序和基础结构：

• 开箱即用的 350 多个数据连接器，支持第一方和第三方安全解决方案以及云平台

• 内置表管理功能，可简化选择数据存储选项，支持在分析层和数据湖层间进行分级放置。

• 引入到分析层中的数据会自动镜像到 Data Lake 层中，确保数据湖层仍然是所有安全数据的中央统一存储库。

• 无代码和自定义连接器选项

• 用于将各种源转换为统一规范化视图的数据规范化

有关详细信息，请参阅 Microsoft Sentinel 数据连接器。

Microsoft Sentinel 平台的核心组件

Microsoft Sentinel 数据湖

Microsoft Sentinel 数据湖是为安全运营专门构建的完全托管的云原生数据湖。 它大规模统一、保留和分析安全数据 - 为高级分析、AI 驱动的见解和代理防御提供基础。

数据湖以灵活性和深度为设计目标，支持多模态分析 - 包括 Kusto 查询、基于图的关系分析、Microsoft 建模语言 (MML)、Security Copilot 智能体，以及在 Visual Studio Code 中运行的 AI 驱动笔记本 - 所有这些都基于一份开放格式的数据副本完成。

借助经济高效的存储和长期保留，安全团队可以调查持久性威胁、使用历史上下文丰富警报，以及使用数月的数据构建行为基线，而无需传统基础结构的开销。

Microsoft Sentinel data lake 的主要功能包括：

• 集中来自 Microsoft 365、Defender、Azure、Microsoft Entra、Microsoft Purview、Microsoft Intune 以及 350 多个数据连接器（包括 Amazon Web Services（AWS）和 Google Cloud Platform （GCP）的日志，以消除数据孤岛。

• 通过将数据引入与分析分离来优化成本，以便可以存储大量安全数据，并为威胁搜寻、异常检测和深入取证调查等任务应用最有效的分析引擎。

• 在 Visual Studio Code 中，无需设置基础设施即可通过 Kusto 查询、计划任务和 AI 支持的笔记本对开放格式数据的一个副本进行多模态分析。

有关详细信息，请参阅 Microsoft Sentinel 数据湖是什么？。

Microsoft Sentinel 图

Microsoft Sentinel 图形通过对资产、标识、活动和威胁智能的复杂关系建模和分析来提供统一的图形分析功能。 它使 Microsoft Defenders 和 AI 代理能够推理互连的数据，从而提供更深入的见解和更快的网络威胁响应。

Microsoft Sentinel 图形的关键功能包括：

• 统一的基于图的分析能力，为安全、合规、标识以及 Microsoft 安全生态系统中的内置体验提供支持。
• 实际关系建模，它使用节点和边缘来表示用户、设备、云资源、数据流和攻击者作。
• 增强的威胁推理可帮助 Defenders 回答复杂的问题，例如攻击者可能从泄露实体到关键资产的易受攻击路径。
• 端到端防御，支持入侵前和入侵后场景，使用跨 Microsoft Defender 和 Microsoft Purview 的互连图表。

有关详细信息，请参阅 什么是Microsoft Sentinel 图形？。

Microsoft Sentinel 模型上下文协议 （MCP） 服务器

Microsoft Sentinel MCP 服务器提供了统一的托管接口，使安全团队能够使用自然语言与安全数据进行交互并生成智能安全代理，而无需基础结构设置或自定义连接器。 此集成简化了数据浏览和自动化，使 AI 驱动的安全作更易于访问和有效。

Microsoft Sentinel MCP 服务器的关键功能包括：

• 一个托管接口，使用 Microsoft Entra 进行身份识别，并支持兼容客户端以实现无缝的 AI 操作。
• 自然语言安全工具，包括面向场景的工具，可在无需了解架构或编写代码的情况下，对 Microsoft Sentinel 数据湖进行查询和推理。
• 加速代理创建，工程师可以使用自然语言生成自定义的安全代理，减少手动工作量并加快自动化速度。
• 与 Microsoft Sentinel 的数据湖进行原生集成，可以在不影响数据覆盖率或成本的情况下，实现丰富的上下文设计。

有关详细信息，请参阅什么是Microsoft Sentinel 对模型上下文协议（MCP）的支持？

Microsoft Sentinel 开发人员体验

Microsoft Sentinel 为合作伙伴提供了广泛的功能，使他们能够创建有影响力的解决方案，并通过 Microsoft Security Store 或 Microsoft Sentinel SIEM 内容中心发布。 基于 Microsoft Sentinel，你可以使用各种安全数据、处理功能和 AI 体验来支持新方案，而无需新的管道、计算引擎或存储基础结构。

例如，合作伙伴可以创建、打包和发布：

• Microsoft Sentinel SIEM 内容，例如连接器、分析规则、搜寻查询和操作手册。
• Microsoft Sentinel 平台内容，例如：连接器、用于分析数据的 Jupyter 笔记本作业，以及将这些数据与现有数据湖内容进行关联的智能体。 然后，代理可以与其他终结点和外部应用程序交互，为客户提供强大的统一体验。

有关详细信息，请参阅 生成和发布Microsoft Sentinel 解决方案。

开始

若要开始使用 Microsoft Sentinel 平台和 SIEM，请参阅：

• 加入 Microsoft Sentinel
• 加入到 Microsoft Sentinel 数据湖和 Microsoft Sentinel Graph
• Microsoft Sentinel 数据连接器
• Microsoft Sentinel MCP 服务器入门（预览版）
• 在 Microsoft Defender 门户中管理数据层和保留期（预览版）
• 管理和监视 Microsoft Sentinel 的成本
• Microsoft Sentinel 数据湖中的 Jupyter 笔记本
• 生成和发布Microsoft Sentinel 解决方案