Recensioni e Dettagli del Prodotto Microsoft Sentinel

Adoro la visibilità centralizzata che offre Microsoft Sentinel, poiché mi consente di vedere log, avvisi e incidenti tutti in un unico posto senza dover saltare tra strumenti, il che accelera le indagini. Mi piacciono molto le analisi integrate e le regole di rilevamento; sono pronte all'uso e personalizzabili, quindi non devo partire da zero. L'integrazione con l'ecosistema Microsoft, inclusi Azure, Microsoft 365 e gli strumenti Defender, è anche molto fluida e quasi senza soluzione di continuità, rendendo più facile l'onboarding. Recensione raccolta e ospitata su G2.com.

Alcune cose con Microsoft Sentinel potrebbero sicuramente essere migliorate, come la visibilità dei costi. La tariffazione può essere confusa, specialmente con l'ingestione dei dati. È facile superare il budget se non si tiene d'occhio la situazione. Inoltre, c'è una curva di apprendimento; ci vuole tempo per sentirsi a proprio agio nello scrivere query. Inoltre, mentre le regole predefinite sono utili, è comunque necessario affinarle per ridurre il rumore. Recensione raccolta e ospitata su G2.com.

Ciò che mi piace di più di Microsoft Sentinel è come fornisce un monitoraggio della sicurezza centralizzato attraverso più fonti di dati in un ambiente cloud-native. Semplifica la raccolta, l'analisi e la correlazione di grandi volumi di log di sicurezza, senza il sovraccarico di gestire l'infrastruttura SIEM tradizionale. Le regole di analisi integrate, l'integrazione dell'intelligence sulle minacce e l'automazione basata su playbook aiutano anche a rilevare e rispondere alle minacce in modo più efficiente. Ho trovato particolarmente preziosa la sua integrazione con altri servizi di sicurezza Microsoft perché crea una visione più unificata degli incidenti di sicurezza e aiuta i team di sicurezza a indagare e rispondere più rapidamente. Recensione raccolta e ospitata su G2.com.

Una sfida con Microsoft Sentinel è che la configurazione iniziale può richiedere molto tempo, specialmente per i team che sono nuovi alle piattaforme SIEM o ai servizi Azure. Alcune regole analitiche e connettori di dati necessitano anche di un'attenta messa a punto per ridurre i falsi positivi e garantire che gli avvisi rimangano pertinenti. Inoltre, il modello di prezzo basato sull'ingestione dei dati può diventare costoso se si raccolgono grandi volumi di log senza un adeguato filtraggio. Per questo motivo, le organizzazioni dovrebbero pianificare attentamente le loro fonti di log e la strategia di conservazione per mantenere i costi sotto controllo pur catturando i log di cui hanno bisogno. Recensione raccolta e ospitata su G2.com.

KQL è un linguaggio davvero potente e facile da imparare. Se sei un cliente Azure, Sentinel è una scelta ovvia, poiché è davvero facile ingerire i Log di Azure. La sua integrazione con Defender è anche un grande vantaggio, per non parlare del gran numero di tabelle che sono gratuite da ingerire. Recensione raccolta e ospitata su G2.com.

Preferirei che i dati fossero normalizzati e non frammentati su più tabelle, in questo modo. Le funzioni ASIM mitigano questo problema, ma sono lente. Recensione raccolta e ospitata su G2.com.

Ciò che apprezzo di più di Microsoft Sentinel è la sua combinazione senza soluzione di continuità di SIEM e SOAR in un ambiente veramente cloud-native. La sua forte integrazione con l'ecosistema Microsoft—particolarmente Azure, Entra ID, Defender e M365—offre una visibilità immediata e richiede pochissimo sforzo di onboarding. L'uso di KQL sulla piattaforma consente una caccia alle minacce flessibile e robusta, mentre le regole analitiche integrate e le funzionalità UEBA aiutano a ridurre significativamente l'affaticamento da allerta. Inoltre, l'automazione tramite Logic Apps consente ai team di sicurezza di rispondere più rapidamente e in modo coerente, rendendo Sentinel una soluzione altamente scalabile e conveniente per le operazioni SOC di oggi. Recensione raccolta e ospitata su G2.com.

Un aspetto che trovo impegnativo di Microsoft Sentinel è la gestione dei costi, in particolare con la crescita dell'utilizzo, poiché il modello di prezzo si basa fortemente sulla quantità di dati ingeriti e conservati. Sebbene KQL sia uno strumento potente, presenta una curva di apprendimento per i team che sono nuovi ad esso, il che può rallentare il processo di adozione. Inoltre, l'implementazione di casi d'uso avanzati di SOAR richiede spesso una personalizzazione considerevole tramite Logic Apps, e la risoluzione dei problemi di queste automazioni può essere piuttosto complessa. Infine, Sentinel tende a funzionare meglio all'interno dell'ecosistema Microsoft, il che può essere uno svantaggio per le organizzazioni che si affidano a una varietà di strumenti di sicurezza non Microsoft. Recensione raccolta e ospitata su G2.com.

Abbiamo sia i log che gli incidenti visibili in MS Sentinel, a differenza del nostro precedente strumento SIEM. Inoltre, è un vantaggio avere la visibilità di altri servizi di Azure in Sentinel e molto altro ancora. Recensione raccolta e ospitata su G2.com.

Non abbiamo un'opzione RBAC per le tabelle nel Sentinel come abbiamo nell'ADX. Sarebbe fantastico avere queste opzioni RBAC in modo da poter concedere permessi a utenti o gruppi specifici per tabelle specifiche. Recensione raccolta e ospitata su G2.com.

Ci sono molti strumenti SIEM disponibili sul mercato come Splunk, MS Sentinel e IBM QRadar. Vediamo oggi i vantaggi di MS Sentinel:

1. Questo strumento è completamente costruito su Azure e non richiede infrastruttura on-premise.

2. Poiché è distribuito su Azure, si scala automaticamente in base all'ingestione dei dati.

3. L'integrazione con Azure AD, Defender for Cloud e gli strumenti MS è molto facile e veloce.

4. Ha molteplici funzionalità, una delle quali è l'IA che rileva automaticamente le anomalie e correla i segnali tra le fonti di dati.

5. Utilizza KQL che aiuta nella creazione di report e nell'ottenere analisi approfondite con query personalizzate.

6. Ha una comunità molto ampia di regole, workbook e playbook disponibili su GitHub e nella comunità di Sentinel, il che rende le cose molto più facili rispetto ad altri strumenti SIEM. Recensione raccolta e ospitata su G2.com.

1. Sentinel ha un modello di prezzo "pay as you go" che lo rende davvero costoso se si sta ingerendo una grande quantità di dati.

2. Sentinel utilizza KQL (Kusto Query Language) che è potente ma non intuitivo per i principianti e richiede una buona quantità di formazione per iniziare.

3. Sentinel ha una buona quantità di connettori predefiniti, ma quando si tratta di integrazione con sistemi legacy è un processo complesso e richiede una buona quantità di tempo.

4. Quando si gestiscono query grandi e complesse, potrebbe richiedere tempo e consumare molte risorse di calcolo.

5. Una volta completamente configurato lo strumento e utilizzato per un lungo periodo, passare a un'altra piattaforma SIEM diventa un compito arduo. Recensione raccolta e ospitata su G2.com.

Integrazioni con molteplici strumenti di cybersicurezza Recensione raccolta e ospitata su G2.com.

Il costo dell'assunzione mensile è un prezzo alto che si paga Recensione raccolta e ospitata su G2.com.

Microsoft Sentinel ha ottime capacità di integrare i dati. È facile connettersi con i software di sicurezza in corso e anche con altri strumenti. Questo aiuta le organizzazioni a migliorare la loro sicurezza a diversi livelli. Recensione raccolta e ospitata su G2.com.

Generare report personalizzati utilizzando Microsoft Sentinel a volte può richiedere tempo a causa della sua dipendenza dalla scrittura di script KQL. Se vogliamo combinare i dati non Microsoft per generare un'analisi dei log, sarà difficile. Inoltre, imparare KQL è anche difficile per i nuovi arrivati. Recensione raccolta e ospitata su G2.com.

Integrazione con quasi tutti gli strumenti e le applicazioni. Facilità d'uso, implementazione, migrazione da altre soluzioni, facile da usare e molto più capace. Recensione raccolta e ospitata su G2.com.

Ogni volta che hai bisogno di cercare una regola o un caso d'uso, devi prima trovare il nome corretto dell'allerta (corretta convenzione di denominazione) dall'analisi; dopo di che, puoi cercarlo. Recensione raccolta e ospitata su G2.com.

Microsoft Sentinel si integra perfettamente con i servizi di sicurezza di Azure, acquisendo dati da diverse fonti come le macchine virtuali utilizzando l'agente di monitoraggio di Azure, il registro delle attività di Azure e l'hub eventi di Azure. È costruito su un'architettura nativa del cloud. È un sistema di monitoraggio centralizzato. Azure Sentinel utilizza playbook per la risposta automatizzata alle minacce, semplificando la gestione degli incidenti. Recensione raccolta e ospitata su G2.com.

Alcuni utenti trovano l'interfaccia utente difficile da navigare, comprendere le sue funzionalità può richiedere tempo. Questa soluzione completa ha un costo. Recensione raccolta e ospitata su G2.com.