Che cos'è Microsoft Sentinel?

Microsoft Sentinel è una piattaforma di sicurezza unificata e SIEM (Security Information and Event Management) nativa del cloud per la difesa agentic. Per soddisfare le esigenze delle minacce complesse di oggi, Microsoft Sentinel si è evoluta da siem tradizionale a siem e piattaforma, estendendosi oltre i controlli statici basati su regole e la risposta post-violazione per fornire una base di dati pronta per l'intelligenza artificiale che trasforma i dati di telemetria in un grafico di sicurezza, standardizza l'accesso per gli agenti e coordina le azioni autonome, mantenendo gli esseri umani al comando della strategia e delle indagini ad alto impatto.

In qualità di SIEM, Microsoft Sentinel offre sicurezza basata sull'intelligenza artificiale in ambienti multicloud e multipiattaforma, offrendo funzionalità affidabili per il rilevamento delle minacce, l'indagine, la ricerca, la risposta e l'interruzione automatica degli attacchi. Come piattaforma, Microsoft Sentinel fornisce una base basata su un data lake moderno per approfondimenti approfonditi, funzionalità di grafo per l'analisi contestuale, un server MCP (Model Context Protocol) ospitato per strumenti pronti per l'agente e funzionalità per sviluppatori per la creazione e la distribuzione di soluzioni tramite l'Archivio sicurezza.

Questo articolo offre una panoramica delle Microsoft Sentinel e dei relativi componenti principali. Spiega in che modo Microsoft Sentinel aiuta i team delle operazioni di sicurezza a rilevare e rispondere alle minacce e ad adattarsi continuamente unificando i dati, automatizzando le risposte e derivando informazioni dettagliate basate sull'intelligenza artificiale.

AI-first, siem end-to-end e piattaforma di sicurezza

Questo diagramma illustra il Microsoft Sentinel SIEM end-to-end e la piattaforma di sicurezza end-to-end ai-first, evidenziandone i componenti principali e l'integrazione con Microsoft Security Copilot.

Diagramma che illustra l'Microsoft Sentinel siEM end-to-end e la piattaforma di sicurezza di AI-first e end-to-end.

Microsoft Sentinel SIEM

La soluzione SIEM Microsoft Sentinel nativa del cloud offre sicurezza basata sull'intelligenza artificiale in ambienti multicloud e multipiattaforma. Offre funzionalità complete per il rilevamento delle minacce, l'analisi, la risposta e la ricerca proattiva, offrendo ai team di sicurezza una visione unificata della propria azienda.

Microsoft Sentinel SIEM è disponibile nel portale di Microsoft Defender, per i clienti con o senza Defender XDR o una licenza E5, offrendo un'esperienza operativa di sicurezza unificata. Questa integrazione semplifica i flussi di lavoro, migliora la visibilità e aiuta gli analisti a rispondere più velocemente e più precisamente a minacce sempre più complesse.

L'integrazione di Microsoft Sentinel SIEM con il portale di Defender e Security Copilot crea un potente ecosistema che migliora le operazioni di sicurezza. Security Copilot consente agli analisti di interagire con Microsoft Sentinel dati usando il linguaggio naturale, generare query di ricerca e automatizzare le indagini, rendendo la risposta alle minacce più veloce e accessibile.

Per altre informazioni, vedere Che cos'è Microsoft Sentinel SIEM?

Connettori dati

Raccogliere dati nell'intero digital estate ovunque si trovino i dati, inclusi tutti gli utenti, i dispositivi, le applicazioni e l'infrastruttura, sia in locale che in più cloud:

  • Oltre 350 connettori di dati predefiniti con supporto per soluzioni di sicurezza di prima e di terze parti e piattaforme cloud

  • Un'esperienza di gestione delle tabelle predefinita che semplifica la selezione dell'archiviazione dati, supportando il posizionamento a livelli tra livelli analitici e data lake.

  • I dati inseriti nel livello di analisi vengono automaticamente sottoposti a mirroring nel livello data lake, garantendo che il livello data lake rimanga il repository unificato centrale per tutti i dati di sicurezza.

  • Opzioni no-code e connettore personalizzato

  • Normalizzazione dei dati per tradurre varie origini in una visualizzazione uniforme e normalizzata

Per altre informazioni, vedere Microsoft Sentinel connettori dati.

Componenti principali della piattaforma Microsoft Sentinel

Microsoft Sentinel data lake

Microsoft Sentinel data lake è un data lake completamente gestito e nativo del cloud progettato appositamente per le operazioni di sicurezza. Unifica, conserva e analizza i dati di sicurezza su larga scala, fornendo le basi per l'analisi avanzata, le informazioni dettagliate basate sull'intelligenza artificiale e la difesa agentic.

Progettato per flessibilità e profondità, il data lake supporta l'analisi multimodale, incluse le query Kusto, l'analisi delle relazioni basate su grafi, mml (Microsoft Modeling Language), gli agenti Security Copilot e i notebook basati su intelligenza artificiale in Visual Studio Code, il tutto in una singola copia di dati in formato aperto.

Grazie all'archiviazione conveniente e alla conservazione a lungo termine, i team di sicurezza possono analizzare le minacce persistenti, arricchire gli avvisi con il contesto cronologico e creare linee di base comportamentali usando mesi di dati, senza il sovraccarico dell'infrastruttura tradizionale.

Microsoft Sentinel funzionalità principali del data lake includono:

  • Centralizza i log da Microsoft 365, Defender, Azure, Microsoft Entra, Microsoft Purview, Microsoft Intune e oltre 350 connettori dati, tra cui Amazon Web Services (AWS) e Google Cloud Platform (GCP) per eliminare i silos di dati.

  • Ottimizza i costi separando l'inserimento dei dati dall'analisi, in modo da poter archiviare volumi elevati di dati di sicurezza e applicare i motori analitici più efficaci per attività come la ricerca delle minacce, il rilevamento delle anomalie e indagini forensi approfondite.

  • Abilita l'analisi multimodale in una singola copia di dati in formato aperto usando query Kusto, processi pianificati e notebook basati su intelligenza artificiale in Visual Studio Code, senza alcuna configurazione dell'infrastruttura necessaria.

Per altre informazioni, vedere Che cos'è Microsoft Sentinel data lake?

grafico Microsoft Sentinel

Microsoft Sentinel grafico offre funzionalità di analisi unificata del grafo tramite la modellazione e l'analisi di relazioni complesse tra asset, identità, attività e intelligence sulle minacce. Consente a Microsoft Defenders e agli agenti di intelligenza artificiale di ragionare sui dati interconnessi, offrendo approfondimenti più approfonditi e una risposta più rapida alle minacce informatiche.

Microsoft Sentinel funzionalità principali del grafico includono:

  • Analisi unificata basata su grafi che alimentano le esperienze predefinite in sicurezza, conformità, identità e ecosistema di sicurezza Microsoft.
  • Modellazione di relazioni reali che usa nodi e archi per rappresentare utenti, dispositivi, risorse cloud, flussi di dati e azioni degli utenti malintenzionati.
  • Ragionamento avanzato sulle minacce per aiutare Defenders a rispondere a domande complesse, ad esempio i percorsi vulnerabili che un utente malintenzionato potrebbe prendere da un'entità compromessa a un asset critico.
  • Difesa end-to-end con supporto per scenari di pre-violazione e post-violazione, usando grafici interconnessi in Microsoft Defender e Microsoft Purview.

Per altre informazioni, vedere Che cos'è Microsoft Sentinel grafico?

Microsoft Sentinel server MCP (Model Context Protocol)

Microsoft Sentinel server MCP offre un'interfaccia ospitata unificata che consente ai team di sicurezza di interagire con i dati di sicurezza usando il linguaggio naturale e creare agenti di sicurezza intelligenti, senza configurazione dell'infrastruttura o connettori personalizzati. Questa integrazione semplifica l'esplorazione e l'automazione dei dati, rendendo le operazioni di sicurezza basate sull'intelligenza artificiale più accessibili ed efficaci.

Microsoft Sentinel funzionalità chiave del server MCP includono:

  • Interfaccia ospitata che usa Microsoft Entra per l'identità e supporta client compatibili per operazioni di IA senza problemi.
  • Strumenti di sicurezza del linguaggio naturale, inclusi gli strumenti incentrati sullo scenario per eseguire query e ragionamenti su Microsoft Sentinel data lake senza conoscere lo schema o scrivere codice.
  • Creazione accelerata di agenti in base alla quale i tecnici possono creare agenti di sicurezza personalizzati usando il linguaggio naturale, riducendo il lavoro manuale e velocizzando l'automazione.
  • L'integrazione nativa con il data lake di Microsoft Sentinel consente una progettazione avanzata del contesto senza compromettere la copertura dei dati o i costi.

Per altre informazioni, vedere What is Microsoft Sentinel's support for Model Context Protocol (MCP)?

Microsoft Sentinel esperienza per sviluppatori

Microsoft Sentinel offre ai partner ampie funzionalità per creare soluzioni di impatto che possono pubblicare tramite Microsoft Security Store o l'hub del contenuto SIEM Microsoft Sentinel. Grazie a Microsoft Sentinel è possibile supportare nuovi scenari usando un'ampia gamma di dati di sicurezza, funzionalità di elaborazione ed esperienze di intelligenza artificiale, senza la necessità di nuove pipeline, motori di calcolo o infrastruttura di archiviazione.

Ad esempio, i partner possono creare, creare pacchetti e pubblicare:

  • Microsoft Sentinel contenuto SIEM, ad esempio connettori, regole analitiche, query di ricerca e playbook.
  • Microsoft Sentinel contenuto della piattaforma, ad esempio connettori, processi notebook di Jupyter per analizzare i dati e agenti che correlano i dati con il contenuto lake esistente. L'agente può quindi interagire con altri endpoint e applicazioni esterne per offrire ai clienti un'esperienza unificata potente.

Per altre informazioni, vedere Compilare e pubblicare soluzioni Microsoft Sentinel.

Per iniziare

Per iniziare a usare la piattaforma Microsoft Sentinel e SIEM, vedere:

  • Last updated on