Comparando integrações Microsoft Azure Sentinel e API de Segurança do Microsoft Graph com SIR

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Você pode exibir as diferenças entre as integrações Microsoft Azure Sentinel e API de Segurança do Microsoft Graph e escolher a integração correta com sua instância Now Platform.

    Visão geral Microsoft Azure Sentinel – Ingestão de incidentes

    Microsoft Azure Sentinel é uma solução baseada em nuvem de gestão de eventos de informações de segurança (SIEM) e resposta automatizada de orquestração de segurança (SOAR). Microsoft Azure Sentinel fornece análise de segurança inteligente e inteligência contra ameaças em toda a empresa. Ele fornece uma solução única para detecção de alertas, visibilidade de ameaças, busca proativa e resposta a ameaças.

    Visão geral API de Segurança do Microsoft Graph

    O API de Segurança do Microsoft Graph é um serviço intermediário (ou agente) que fornece uma única interface programática para conectar vários provedores de segurança (nativos da Microsoft, bem como parceiros ServiceNow ).

    A integração API de Segurança do Microsoft Graph resolve esses problemas usando o API de Segurança do Microsoft Graph para se conectar a diferentes tecnologias de segurança da Microsoft, como Azure Sentinel, Microsoft Defender Advanced Threat Protection e Azure Advanced Threat Protection. Os alertas dos provedores de segurança da Microsoft são ingeridos e os incidentes de segurança são criados automaticamente em Security Incident Response.

    Resumo das diferenças de recurso

    Uma comparação visual do Azure Sentinel e da Graph API

    Tabela 1. Microsoft Azure Sentinel versus API de Segurança do Microsoft Graph
    Microsoft Azure Sentinel API de Segurança do Microsoft Graph
    Ingere Microsoft Azure Sentinel incidentes junto com informações da entidade (quando disponíveis) e automatiza a criação de incidentes de segurança em SIR. Ingere alertas de vários provedores de segurança (incluindo o Azure Sentinel) em um esquema padrão e automatiza a criação de incidentes de segurança em SIR.
    Automatiza Microsoft Azure Sentinel atualizações de status de incidente para o Security Incident Response para que você possa criar e fechar incidentes de segurança.
    Nota:
    ServiceNow atualiza o status de Microsoft Azure Sentinel incidentes com base na criação ou no fechamento do incidente de segurança.
    		 Oferece suporte a atualizações de alerta (mudança de status de alerta e fechamento de alerta) para provedores de segurança selecionados.
    Nota:
    Para obter mais informações sobre os API de Segurança do Microsoft Graph provedores de segurança compatíveis, consulte a documentação da Microsoft.
    Use esta integração se o cenário incluir as seguintes condições:
    • A investigação de incidente preliminar está em Microsoft Azure Sentinel e a investigação subsequente está em SIR
    • Ingerir Microsoft Azure Sentinel incidentes para SIR
    		 Use esta integração se o cenário incluir as seguintes condições:
    • Executar investigação de incidentes em SIR.
    • Inclua Microsoft Azure Sentinel alertas em SIR.
    • Os incidentes não são criados em Microsoft Azure Sentinel.
    O alerta é uma entidade em Microsoft Azure Sentinel. Você não pode recuperar alertas autônomos ou específicos usando a API de gestão Microsoft Azure Sentinel. Você só pode recuperar os dados de alerta associados a um incidente. Os dados de alerta disponíveis usando esta integração são mais avançados do que os dados de alerta disponíveis usando API de Segurança do Microsoft Graph. Os dados de alerta normalizados Microsoft Azure Sentinel estão disponíveis. Os campos de alerta Microsoft Azure Sentinel que são mapeados internamente em API de Segurança do Microsoft Graphe estão disponíveis em API de Segurança do Microsoft Graphestão disponíveis para uso nesta integração.
    Você não pode atualizar alertas em Microsoft Azure Sentinel usando esta integração.