微软网络安全服务Azure Sentinel现已全面上市

微软今天表示，经过六个多月的测试，微软安全信息和事件管理服务Azure Sentinel现在已经全面上市。

类似Azure Sentinel这样的SIEM工具在网络安全团队中非常受欢迎，因为这种工具的工作方式是从各种来源（例如操作系统、应用、防病毒数据库和服务器日志）收集数据，然后分析所有数据以寻找安全漏洞或其他异常情况。

这种工具很容易“大海捞针”，对于必须监控庞大IT系统的企业安全团队来说，这是一项极为有用的功能。

Azure Sentinel是SIEM产品的典型代表，主要优势是与微软云服务（包括Azure基础设施产品和Office 365）的深度集成。微软认为，更深层次的集成足以使其成为那些在微软基础设施上运行大部分工作负载的客户的默认选项。

不过，微软并没有止步于此。Azure Sentinel还支持例如AWS等竞争对手的云以及本地基础设施。

Azure Sentinel依靠机器学习算法来处理安全数据，它的工作原理是过滤掉不必要的日志，将整个系统的活动模式关联起来，并将异常情况汇总成为提交给管理员的警报。

除了检测潜在的异常行为之外，Azure Sentinel还可以自动执行部分威胁响应工作流，例如它可以执行在基础机器学习模型检测到高优先级安全事件时向管理员发送电子邮件之类的任务。

Azure Sentinel还带有用于执行手动威胁分析的工具，其中的事件调查控制台让管理员能够查看可疑活动模式，并运行查询以获取相关的系统数据。

微软在今年2月首次公开预览了Azure Sentinel，该服务是按需付费的，起价为每分析1GB数据2.46美元。