Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Microsoft Sentinel er en cloudbaseret SIEM (Security Information and Event Management) og en samlet sikkerhedsplatform til agentisk forsvar. For at imødekomme kravene fra nutidens komplekse trusler har Microsoft Sentinel udviklet sig fra en traditionel SIEM til en SIEM og platform – ud over statiske, regelbaserede kontroller og svar efter sikkerhedsbrud for at levere et AI-klar, data-first-fundament, der omdanner telemetri til en sikkerhedsgraf, standardiserer adgang for agenter og koordinerer autonome handlinger, samtidig med at mennesker har kommandoen over strategi- og effektundersøgelser.
Som SIEM leverer Microsoft Sentinel AI-drevet sikkerhed på tværs af miljøer med flere cloudmiljøer og flere platforme og tilbyder robuste funktioner til trusselsregistrering, undersøgelse, jagt, svar og automatiseret afbrydelse af angreb. Som platform giver Microsoft Sentinel et fundament, der er bygget på en moderne datasø for at få dyb indsigt, graffunktioner til kontekstafhængig analyse, en hostet MCP-server (Model Context Protocol) til agentklar værktøjer og udviklerfunktioner til oprettelse og installation af løsninger via Security Store.
Denne artikel indeholder en oversigt over Microsoft Sentinel og dens kernekomponenter. I artiklen forklares det, hvordan Microsoft Sentinel hjælper sikkerhedsteams med at registrere og reagere på trusler og tilpasse sig løbende ved at forene data, automatisere svar og udlede AI-baseret indsigt.
AI-first, end-to-end SIEM- og sikkerhedsplatform
Dette diagram illustrerer den Microsoft Sentinel AI-første, komplette SIEM- og sikkerhedsplatform og fremhæver dens kernekomponenter og dens integration med Microsoft Security Copilot.
Microsoft Sentinel SIEM
Den oprindelige Microsoft Sentinel SIEM-løsning leverer AI-drevet sikkerhed på tværs af miljøer med flere cloudmiljøer og flere platforme. Den indeholder omfattende funktioner til trusselsregistrering, undersøgelse, svar og proaktiv jagt, hvilket giver sikkerhedsteams et samlet overblik over deres virksomhed.
Microsoft Sentinel SIEM er tilgængelig på Microsoft Defender-portalen – for kunder med eller uden Defender XDR eller en E5-licens – der giver en samlet oplevelse af sikkerhedshandlinger. Denne integration strømliner arbejdsprocesser, forbedrer synligheden og hjælper analytikere med at reagere hurtigere og mere præcist på stadig mere komplekse trusler.
Integrationen af Microsoft Sentinel SIEM med Defender-portalen og Security Copilot skaber et stærkt økosystem, der forbedrer sikkerhedshandlinger. Security Copilot gør det muligt for analytikere at interagere med Microsoft Sentinel data ved hjælp af et naturligt sprog, generere jagtforespørgsler og automatisere undersøgelser, hvilket gør trusselssvaret hurtigere og mere tilgængeligt.
Du kan finde flere oplysninger under Hvad er Microsoft Sentinel SIEM?
Dataconnectors
Indsaml data på tværs af hele din digitale ejendom, uanset hvor dataene befinder sig, herunder alle brugere, enheder, programmer og infrastruktur, både i det lokale miljø og i flere cloudmiljøer:
Mere end 350 køreklare dataconnectors med understøttelse af sikkerhedsløsninger fra første og tredjepart og cloudplatforme
En indbygget tabeladministrationsoplevelse, der forenkler valg af datalager, der understøtter niveauinddelt placering på tværs af analyse- og datasøniveauer.
Data, der overføres til analyseniveauet, afspejles automatisk i data lake-niveauet, så det sikres, at data lake-niveauet forbliver det centrale, samlede lager for alle sikkerhedsdata.
Indstillinger for ingen kode og brugerdefineret connector
Datanormalisering for at oversætte forskellige kilder til en ensartet, normaliseret visning
Du kan få flere oplysninger under Microsoft Sentinel dataconnectors.
Kernekomponenter i den Microsoft Sentinel platform
Microsoft Sentinel datasø
Microsoft Sentinel datasø er en fuldt administreret, cloudbaseret datasø, der er udviklet til sikkerhedshandlinger. Den samler, bevarer og analyserer sikkerhedsdata i stor skala – hvilket giver grundlaget for avanceret analyse, AI-drevet indsigt og agentisk forsvar.
Datasøen, der er designet til fleksibilitet og dybde, understøtter multimodale analyser – herunder Kusto-forespørgsler, grafbaseret relationsanalyse, Microsoft Modeling Language (MML), Security Copilot agenter og AI-drevne notesbøger i Visual Studio Code – alt sammen på en enkelt kopi af data i åbent format.
Med omkostningseffektiv lagring og langtidsopbevaring kan sikkerhedsteams undersøge vedvarende trusler, forbedre beskeder med historisk kontekst og bygge adfærdsmæssige grundlinjer ved hjælp af måneders data uden at skulle bruge traditionel infrastruktur.
Microsoft Sentinel datasøens nøglefunktioner omfatter:
Centraliserer logge fra Microsoft 365, Defender, Azure, Microsoft Entra, Microsoft Purview, Microsoft Intune og mere end 350 dataconnectors – herunder Amazon Web Services (AWS) og Google Cloud Platform (GCP) – for at fjerne datasiloer.
Optimerer omkostningerne ved at afkoble dataindtagelse fra analyse, så du kan gemme store mængder sikkerhedsdata og anvende de mest effektive analyseprogrammer til opgaver som trusselsjagt, registrering af uregelmæssigheder og dybdetekniske undersøgelser.
Gør det muligt at foretage flere modale analyser på en enkelt kopi af data i åbent format ved hjælp af Kusto-forespørgsler, planlagte job og AI-drevne notesbøger i Visual Studio Code – ingen installation af infrastruktur er påkrævet.
Du kan få flere oplysninger under Hvad er Microsoft Sentinel datasø?
graf over Microsoft Sentinel
Microsoft Sentinel graph giver mulighed for samlet grafanalyse ved at modellere og analysere komplekse relationer på tværs af aktiver, identiteter, aktiviteter og trusselsintelligens. Det giver Microsoft Defenders og AI-agenter mulighed for at bruge forbundne data til at give bedre indsigt og hurtigere svar på cybertrusler.
Microsoft Sentinel graphs nøglefunktioner omfatter:
- Samlet grafbaseret analyse, der styrer indbyggede oplevelser på tværs af sikkerhed, overholdelse af angivne standarder, identitet og Microsoft Security-økosystemet.
- Modellering af relationer i den virkelige verden, der bruger noder og kanter til at repræsentere brugere, enheder, cloudressourcer, dataflows og handlinger med ondsindede hensigter.
- Forbedret trusselsårsag, der kan hjælpe Defenders med at besvare komplekse spørgsmål, f.eks. hvilke sårbare stier en hacker kan tage fra en kompromitteret enhed til et kritisk aktiv.
- End-to-end-forsvar med understøttelse af både scenarier før sikkerhedsbrud og efter sikkerhedsbrud ved hjælp af forbundne grafer på tværs af Microsoft Defender og Microsoft Purview.
Du kan få flere oplysninger under Hvad er Microsoft Sentinel graf?
Microsoft Sentinel MCP-server (Model Context Protocol)
Microsoft Sentinel MCP-server leverer en samlet, hostet grænseflade, der gør det muligt for sikkerhedsteams at interagere med sikkerhedsdata ved hjælp af et naturligt sprog og bygge intelligente sikkerhedsagenter – uden konfiguration af infrastruktur eller brugerdefinerede connectors. Denne integration forenkler udforskning og automatisering af data, hvilket gør AI-drevne sikkerhedshandlinger mere tilgængelige og effektive.
Microsoft Sentinel MCP-serverens nøglefunktioner omfatter:
- En hosted grænseflade, der bruger Microsoft Entra til identitet og understøtter kompatible klienter til problemfri AI-handlinger.
- Værktøjer til sikkerhed på naturligt sprog, herunder scenariefokuserede værktøjer til at forespørge på og begrunde Microsoft Sentinel datasø uden skemaviden eller kodning.
- Accelereret oprettelse af agenter, hvor teknikere kan bygge brugerdefinerede sikkerhedsagenter ved hjælp af et naturligt sprog, hvilket reducerer den manuelle indsats og fremskynder automatiseringen.
- Oprindelig integration med Microsoft Sentinel datasø giver mulighed for omfattende kontekstkonstruktion uden at gå på kompromis med datadækning eller omkostninger.
Du kan få flere oplysninger under Hvad understøttes Microsoft Sentinel af MCP (Model Context Protocol)?
Microsoft Sentinel udvikleroplevelse
Microsoft Sentinel tilbyder omfattende funktioner til partnere, så de kan oprette effektfulde løsninger, de kan publicere via Microsoft Security Store eller Microsoft Sentinel SIEM Content Hub. Ud fra Microsoft Sentinel kan du understøtte nye scenarier ved hjælp af en lang række sikkerhedsdata, behandlingsfunktioner og AI-oplevelser, uden at der er behov for nye pipelines, beregningsprogrammer eller lagerinfrastruktur.
Partnere kan f.eks. oprette, pakke og publicere:
- Microsoft Sentinel SIEM-indhold, f.eks. connectors, analyseregler, jagtforespørgsler og playbooks.
- Microsoft Sentinel platformindhold, f.eks. connectors, jupyter-notesbogjob for at analysere dataene, og agenter, der korrelerer disse data med eksisterende søindhold. Agenten kan derefter interagere med andre slutpunkter og eksterne programmer for at give kunderne en effektiv samlet oplevelse.
Du kan finde flere oplysninger under Opret og publicer Microsoft Sentinel-løsninger.
Kom i gang
Hvis du vil i gang med Microsoft Sentinel platform og SIEM, skal du se:
- Ombord Microsoft Sentinel
- Onboard til Microsoft Sentinel datasø og Microsoft Sentinel graf
- Microsoft Sentinel dataconnector
- Kom i gang med Microsoft Sentinel MCP-server (prøveversion)
- Administrer dataniveauer og opbevaring i Microsoft Defender Portal (prøveversion)
- Administrer og overvåg omkostninger for Microsoft Sentinel
- Jupyter-notesbøger i datasøen Microsoft Sentinel
- Byg og publicer Microsoft Sentinel løsninger