مایکروسافت پیش نمایش عمومی ویژگی Watchlist در Azure Sentinel را اعلام کرد

در سال 2019 ، مایکروسافت اعلام کرد Azure Sentinel، یک ابزار بومی اطلاعات امنیتی و مدیریت رویداد (SIEM) ساخته شده در Azure. این به تیم‌های SecOps اجازه می‌دهد تا تهدیدات را قبل از اینکه به سازمان‌ها آسیبی وارد کنند، ببینند و متوقف کنند. مایکروسافت امروز پیش نمایش عمومی ویژگی Watchlist در Azure Sentinel را اعلام کرد.

فهرست‌های نظارتی Azure Sentinel جمع‌آوری داده‌ها را از منابع داده خارجی برای همبستگی با رویدادهای یک محیط Azure Sentinel فعال می‌کنند. تیم‌های SecOps می‌توانند از فهرست‌های پیگیری در کتاب‌های جستجو، قوانین شناسایی، شکار تهدید و پاسخ استفاده کنند. ویژگی جدید فهرست‌های پیگیری را می‌توان در سناریوهای زیر استفاده کرد:

• با وارد کردن سریع آدرس های IP، هش فایل ها و غیره از فایل های csv، تهدیدات را بررسی کنید و به حوادث پاسخ دهید. سپس از جفت‌های نام/مقدار فهرست نظارت برای پیوستن و فیلتر کردن برای استفاده در قوانین هشدار، شکار تهدید، کتاب‌های کار، دفترچه‌های یادداشت و برای درخواست‌های عمومی استفاده کنید. 

• داده‌های کسب‌وکار را وارد کنید، مانند فهرست‌های کاربران با دسترسی سیستمی ممتاز به‌عنوان فهرست پیگیری. سپس از فهرست نظارت برای ایجاد لیست های مجاز و رد استفاده کنید. به عنوان مثال، از یک لیست نظارتی استفاده کنید که حاوی لیستی از کارکنان خاتمه یافته است تا آنها را شناسایی یا از ورود آنها به شبکه جلوگیری کنید.  

• ایجاد لیست های مجاز برای کاهش خستگی هشدار. به عنوان مثال، از یک لیست نظارت برای ایجاد یک لیست مجاز استفاده کنید تا هشدارها را فقط از مجموعه محدودی از آدرس‌های IP برای انجام عملکردهای خاص سرکوب کنید و در نتیجه رویدادهای خوش‌خیم را از تبدیل شدن به هشدار حذف کنید. 

• از فهرست‌های پیگیری برای غنی‌سازی داده‌های رویداد خود با ترکیب‌های فیلد-مقدار حاصل از منابع داده خارجی استفاده کنید. 

منبع: مایکروسافت