Microsoft najavljuje javni pregled značajke Watchlist u Azure Sentinelu

Povratak u 2019. Microsoft najavio Azure Sentinel, izvorni alat za upravljanje sigurnosnim informacijama i događajima (SIEM) izgrađen unutar Azurea. To je omogućilo SecOps timovima da vide i zaustave prijetnje prije nego što nanesu bilo kakvu štetu organizacijama. Microsoft je danas najavio javni pregled značajke Watchlist u Azure Sentinelu.

Azure Sentinel popisi za praćenje omogućit će prikupljanje podataka iz vanjskih izvora podataka radi korelacije s događajima u okruženju Azure Sentinel. SecOps timovi mogu koristiti popise praćenja u svojoj potrazi, pravilima otkrivanja, lovu na prijetnje i priručnicima odgovora. Nova značajka popisa praćenja može se koristiti u sljedećim scenarijima:

• Istražite prijetnje i brzo reagirajte na incidente brzim uvozom IP adresa, hashova datoteka itd. iz csv datoteka. Zatim upotrijebite parove naziv/vrijednost popisa za praćenje za spajanje i filtriranje za upotrebu u pravilima upozorenja, lovu na prijetnje, radnim knjigama, bilježnicama i za općenite upite. 

• Uvezite poslovne podatke, kao što su popisi korisnika s privilegiranim pristupom sustavu kao popis za praćenje. Zatim upotrijebite popis za praćenje za stvaranje popisa dopuštenja i odbijanja. Na primjer, koristite popis za promatranje koji sadrži popis zaposlenika koji su otpušteni kako biste ih otkrili ili spriječili da se prijave na mrežu.  

• Izradite popise dopuštenja kako biste smanjili umor od upozorenja. Na primjer, upotrijebite popis za promatranje za izradu popisa dopuštenja za suzbijanje upozorenja samo s ograničenog skupa IP adresa kako biste izvršili određene funkcije i na taj način uklonili benigne događaje da ne postanu upozorenja. 

• Upotrijebite popise za promatranje kako biste obogatili svoje podatke o događajima kombinacijama vrijednosti polja izvedenih iz vanjskih izvora podataka. 

Izvor: microsoft