Microsoft разкриха тази седмица Azure Sentinel, облачно базирана услуга за засичане на компютърни заплахи, която е насочена към корпоративни клиенти на компанията.
Системата представлява платформа за доставяне на информация за сигурността и управление на събитията или SIEM. Продуктите от този тип помагат на компаниите централизиран анализ на дейността, идваща от различни системи в търсене на заплахи. Извличайки тази информация спомага за откриването на модели, което може допълнително да спре активността на зловредния код и атаките проактивно. Microsoft определя Azure Sentinel като централизиран център за проследяване на инциденти, свързани със сигурността в периметъра на цялата мрежа на предприятието. Sentinel има възможност да наблюдава не само Azure среди, но също и структури на основата на облачни платформи на конкурентни на Microsoft компании като AWS, както и локалната инфраструктура на компанията.
Заедно с това обаче, Azure Sentinel може да се съчетае и с редица други сходни услуги, като например да извлече информация от защитните инструменти, които ползва компанията, и да го комбинира с други продукти за анализ на сигурността, както и четене на записите за активността на Office 365.
Основното достойнство на Azure Sentinel е, че системата използва машинно обучение, за да обработва данните, които получава. Алгоритмите на платформата филтрират с успех ненужните логове и данни, сравняват модели на дейността от много системи и събират знание за наблюдаваните аномалии, представяйки ги в организиран вид за администриращите екипи, обясняват Microsoft.
Друга възможност на Azure Sentinel, освен засичането на пробиви в сигурността е автоматизация на механизмите за реакция, като например изпращане на имейл на екипите по сигурност при засичане на дадено подозрително събитие. Microsoft описва Azure Sentinel като първото SIEM предложение, което оперира директно върху IaaS (infrastructure-as-a-platform) платформа.
