Comparando integrações Microsoft Azure Sentinel e API de Segurança do Microsoft Graph com SIR

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Você pode exibir as diferenças entre as integrações Microsoft Azure Sentinel e API de Segurança do Microsoft Graph e escolher a integração certa com sua instância Now Platform.

    Visão geral Microsoft Azure Sentinel – Ingestão de incidentes

    Microsoft Azure Sentinel é uma solução baseada em nuvem de gestão de eventos de informações de segurança (SIEM) e resposta automatizada de orquestração de segurança (SOAR). Microsoft Azure Sentinel oferece análise de segurança inteligente e inteligência contra ameaças em toda a empresa. Ele fornece uma solução única para detecção de alertas, visibilidade de ameaças, caça proativa e resposta a ameaças.

    Visão geral API de Segurança do Microsoft Graph

    O API de Segurança do Microsoft Graph é um serviço intermediário (ou agente) que fornece uma única interface programática para conectar vários provedores de segurança (Native to Microsoft, bem como ServiceNow Parceiros).

    A integração API de Segurança do Microsoft Graph resolve esses problemas usando o API de Segurança do Microsoft Graph para se conectar a diferentes tecnologias de segurança da Microsoft, como Azure Sentinel, Proteção Avançada contra Ameaças do Microsoft Defender e Proteção Avançada contra Ameaças do Azure. Os alertas dos provedores de segurança da Microsoft são ingeridos e os incidentes de segurança são criados automaticamente em Security Incident Response.

    Resumo das diferenças de recursos

    Uma comparação visual do Azure Sentinel e da Graph API

    Tabela 1. Microsoft Azure Sentinel versus API de Segurança do Microsoft Graph
    Microsoft Azure Sentinel API de Segurança do Microsoft Graph
    Ingere Microsoft Azure Sentinel incidentes junto com as informações da entidade (quando disponíveis) e automatiza a criação de incidentes de segurança em SIR. Ingere alertas de vários provedores de segurança (incluindo o Azure Sentinel) em um esquema padrão e automatiza a criação de incidentes de segurança em SIR.
    Automatiza Microsoft Azure Sentinel atualizações de status de incidente para o Security Incident Response para que você possa criar e fechar incidentes de segurança.
    Nota:
    ServiceNow atualiza o status de Microsoft Azure Sentinel incidentes com base na criação ou fechamento do incidente de segurança.
    		 Oferece suporte a atualizações de alerta (mudança de status de alerta e fechamento de alerta) para provedores de segurança selecionados.
    Nota:
    Para obter mais informações sobre os API de Segurança do Microsoft Graph provedores de segurança compatíveis, consulte a documentação da Microsoft.
    Use esta integração se o seu cenário incluir as seguintes condições:
    • A investigação de incidentes preliminares está em Microsoft Azure Sentinel e a investigação subsequente está em SIR
    • Ingerir Microsoft Azure Sentinel incidentes para SIR
    		 Use esta integração se o seu cenário incluir as seguintes condições:
    • Execute a investigação de incidentes em SIR.
    • Ingerir Microsoft Azure Sentinel alertas em SIR.
    • Incidentes não são criados em Microsoft Azure Sentinel.
    O alerta é uma entidade em Microsoft Azure Sentinel. Você não pode recuperar alertas autônomos ou específicos usando a API de gestão Microsoft Azure Sentinel. Você só pode recuperar os dados de alerta associados a um incidente. Os dados de alerta disponíveis usando esta integração são mais avançados do que os dados de alerta disponíveis usando o API de Segurança do Microsoft Graph. Os dados de alerta normalizados Microsoft Azure Sentinel estão disponíveis. Os Microsoft Azure Sentinel campos de alerta que são mapeados internamente em API de Segurança do Microsoft Graphe estão disponíveis em API de Segurança do Microsoft Graph, estão disponíveis para uso nesta integração.
    Você não pode atualizar alertas em Microsoft Azure Sentinel usando esta integração.