微软正式推出云端SIEM服务新增机器学习模型侦测恶意SSH存取

微软推出云端原生安全资讯和事件管理（Security Information and Event Management，SIEM）服务Azure Sentinel正式版，让企业可以在不同规模的工作负载上，进行智慧安全分析。

云端与传统本地端SIEM的差异之一在于灵活性，本地端SIEM需要企业自己维护基础设施以及软体，而云端SIEM则没有这些困扰，且用户可以依需求扩展使用规模以及储存容量。微软在今年二月的时候，释出了Azure Sentinel预览版，而在之后收到了12,000个用户回馈，为此微软更新了Azure Sentinel并加入了许多新功能，现在释出正式版本。

Azure Sentinel内建了许多微软与非微软的安全资料，用户只要透过点击就可以启用这些内建的资料，增加Azure Sentinel的安全防护能力，而第三方连接器列表现加入更多的微软服务连接器，让Azure Sentinel用户可以跨数位资产，更完整地收集与分析资料。工作簿能以视觉化管理资料，用户可以直接使用或是修改既存的工作簿，或是自己重新创建。

用户可以直接使用Azure Sentinel内建的100多个警报规则，来过滤安全威胁，或是使用新的警报引导精灵来创建自己的警报规则，警报规则可以由单个事件触发，或是基于阈值、关联不同资料集，甚至是内建的机器学习演算法来触发。

正式版Azure Sentinel增加了两种新的机器学习方法，让用户不需要拥有机器学习的知识，就可以使用现成的机器学习模型，来辨识微软身份验证服务中的可疑登入行为，发现恶意的SSH存取，这个机器学习模型，是微软使用现有的机器模型，并结合迁移学习技术，让Azure Sentinel能以单一资料集训练模型，就能获得侦测异常行为能力。

另外，微软还使用融合机器学习技术连接多个来源的资料，像是Azure AD异常登入和可疑的Office 365活动等资料，以侦测散布在服务链上不同威胁。

微软还强化了Azure Sentinel掌握安全威胁的能力，新添加的调查图（Investigation Graph），用户可以视觉化并走访各实体，包括帐户、资产、应用程式或是URL，以及其相关的活动，像是登入、资料转移或是应用程式使用，以快速了解安全事故的影响範围。

Azure Sentinel新增行动和剧本功能，使用了Azure Logic Apps服务，简化事故自动化和修补的程序，用户可以发送电子邮件以验证行动，并封锁可疑的帐户，或隔离Windows的机器。