مایکروسافت پیش نمایش عمومی ویژگی Watchlist در Azure Sentinel را اعلام کرد
2 دقیقه خواندن
منتشر شده در
صفحه افشای ما را بخوانید تا بدانید چگونه می توانید به MSPoweruser کمک کنید تا تیم تحریریه را حفظ کند ادامه مطلب
در سال 2019 ، مایکروسافت اعلام کرد Azure Sentinel، یک ابزار بومی اطلاعات امنیتی و مدیریت رویداد (SIEM) ساخته شده در Azure. این به تیمهای SecOps اجازه میدهد تا تهدیدات را قبل از اینکه به سازمانها آسیبی وارد کنند، ببینند و متوقف کنند. مایکروسافت امروز پیش نمایش عمومی ویژگی Watchlist در Azure Sentinel را اعلام کرد.
فهرستهای نظارتی Azure Sentinel جمعآوری دادهها را از منابع داده خارجی برای همبستگی با رویدادهای یک محیط Azure Sentinel فعال میکنند. تیمهای SecOps میتوانند از فهرستهای پیگیری در کتابهای جستجو، قوانین شناسایی، شکار تهدید و پاسخ استفاده کنند. ویژگی جدید فهرستهای پیگیری را میتوان در سناریوهای زیر استفاده کرد:
- با وارد کردن سریع آدرس های IP، هش فایل ها و غیره از فایل های csv، تهدیدات را بررسی کنید و به حوادث پاسخ دهید. سپس از جفتهای نام/مقدار فهرست نظارت برای پیوستن و فیلتر کردن برای استفاده در قوانین هشدار، شکار تهدید، کتابهای کار، دفترچههای یادداشت و برای درخواستهای عمومی استفاده کنید.
- دادههای کسبوکار را وارد کنید، مانند فهرستهای کاربران با دسترسی سیستمی ممتاز بهعنوان فهرست پیگیری. سپس از فهرست نظارت برای ایجاد لیست های مجاز و رد استفاده کنید. به عنوان مثال، از یک لیست نظارتی استفاده کنید که حاوی لیستی از کارکنان خاتمه یافته است تا آنها را شناسایی یا از ورود آنها به شبکه جلوگیری کنید.
- ایجاد لیست های مجاز برای کاهش خستگی هشدار. به عنوان مثال، از یک لیست نظارت برای ایجاد یک لیست مجاز استفاده کنید تا هشدارها را فقط از مجموعه محدودی از آدرسهای IP برای انجام عملکردهای خاص سرکوب کنید و در نتیجه رویدادهای خوشخیم را از تبدیل شدن به هشدار حذف کنید.
- از فهرستهای پیگیری برای غنیسازی دادههای رویداد خود با ترکیبهای فیلد-مقدار حاصل از منابع داده خارجی استفاده کنید.
منبع: مایکروسافت