微软确信其最新的公共云工具将提升其Azure云平台的安全性，并可赶超竞争对手，例如AWS和谷歌。

微软的新工具是指Azure Sentinel，目前处于预览状态，这是安全信息和事件管理（SIEM）工具，它利用机器学习算法来查明并识别海量警报中最可怕的威胁。该工具部分依赖于Azure Monitor，其中包含一个日志分析数据库，每天吸收超过10 PB的信息。它使用标准日志格式，例如syslog和公共事件格式。

Azure Sentinel的目标是减少警报疲劳，安全分析师通常要在大量警报数据中“大海捞针般”发现最紧迫的威胁，这很容易出现疲劳。微软在一篇博客文章中表示，他们采用的算法可剔除数以百万计的低保真异常，并可识别并呈现一些高保真的安全事件，这种算法采用微软为其云服务开发的机器学习模型。

数据科学家还可通过Azure机器学习服务向Sentinel添加自己喜欢的模型。此外，Azure Sentinel还提供了一套主动狩猎查询，这些查询源自Microsoft内部事件响应团队。

客户可使用Azure Notebooks来为威胁建模，Azure Notebooks是基于Jupyter开源数据可视化项目。Azure Sentinel通过预定义或定制的自动威胁响应功能。

Sentinel是在Azure上本地构建的，采用按需付费模式。据微软称，与传统SIEM系统相比，这是优势，因为它们消除了设置和管理的复杂性，并可以控制成本。

它集成了Fortinet、Symantec和Check Point等供应商的第三方安全平台，以及Microsoft的Graph Security API。客户可以使用后者重新利用现有威胁情报源并创建自定义检测和警报规则。

微软表示，企业现在可以免费尝试Sentinel预览版，他们稍后将公布具体价格。为了吸引现有客户群体，微软将允许客户免费将其Office 365活动数据移动到Azure Sentinel。该工具还可以从第三方应用程序源中提取数据，以全面了解安全威胁。

Azure Sentinel提供GUI，安全团队可以使用它来跟踪威胁并采取防御措施。

Azure Sentinel可能面临一场艰苦的战斗

在某些方面，Sentinel与Amazon GuardDuty很类似，后者是一种威胁检测服务，可扫描客户AWS账户中的恶意活动。与Sentinel一样，GuardDuty将机器学习和警报整合到其控制台和Amazon CloudWatch Events中，让团队可以采取措施。

我们不应该将GuardDuty归类为SIEM，然而，安全咨询和研究公司Securosis的分析师兼首席执行官Rich Mogull表示：“这更像是威胁情报源，你会希望将其发送给SIEM。”

同时，谷歌云提供Stackdriver，这是一种更通用的监控和日志记录服务，而第三方提供商如Sumo和Splunk则提供基于云的SIEM。

至于Sentinel， Mogull说：“我们需要了解它在客户手中的效果如何，以及它是否能够取代现有的SIEM和SOC [安全运营中心]。”

微软还必须谨慎小心，不要让客户混淆，并让客户了解Azure Sentinel如何与现有产品关联或补充现有产品。

Mogull称：“像Sentinel这样的云原生SIEM很棒，但我需要使用它吗？我是否使用Azure安全中心？我是否同时使用它们？为什么不整合这些？这是一个混乱的市场。”

451 Research分析师Eric Ogren表示，企业IT部门对基于云的SIEM有着强烈的需求，Splunk等公司的财务业绩可证明这一点。然而，从历史上看，SIEM是大型企业或高度监管行业的企业才会购买的昂贵物品。

Orgren称：“我不认为微软和Sentinel会立即争夺大客户，这里需要时间来弄清楚如何正确地利用SIEM。”

然而，如今对网络安全的担忧加剧意味着Azure Sentinel等产品面临较少的认知问题。它也可能吸引那些喜欢Azure Sentinel的订阅定价模型和托管方面的小公司。

他指出：“五年前，安全工作人员非常抵触将安全数据传输到云端，而现在，这种抵制已基本消失。”