A Microsoft bejelentette az Azure Sentinel figyelőlista funkciójának nyilvános előnézetét

2019-ban, Microsoft bejelentés Az Azure Sentinel, egy natív biztonsági információ- és eseménykezelő (SIEM) eszköz az Azure-on belül. Lehetővé tette a SecOps csapatok számára, hogy lássák és leállítsák a fenyegetéseket, mielőtt azok kárt okoznának a szervezeteknek. A Microsoft ma bejelentette az Azure Sentinel figyelőlista funkciójának nyilvános előzetesét.

Az Azure Sentinel figyelőlisták lehetővé teszik a külső adatforrásokból származó adatok gyűjtését az Azure Sentinel-környezet eseményeivel való összefüggéshez. A SecOps csapatok figyelőlistákat használhatnak a keresési, észlelési szabályaikban, a fenyegetésvadászatban és a válaszadási játékkönyveikben. Az új figyelőlisták funkció a következő esetekben használható:

• Vizsgálja ki a fenyegetéseket, és gyorsan reagáljon az incidensekre az IP-címek, fájlkivonatok stb. gyors importálásával csv-fájlokból. Ezután használja a figyelőlista név/érték párjait a csatlakozáshoz és szűréshez a riasztási szabályokhoz, a fenyegetésvadászathoz, a munkafüzetekhez, a jegyzetfüzetekhez és az általános lekérdezésekhez. 

• Figyelőlistaként importálhat üzleti adatokat, például kiváltságos rendszer-hozzáféréssel rendelkező felhasználói listákat. Ezután használja a figyelőlistát engedélyezési és tiltási listák létrehozásához. Például használjon egy figyelőlistát, amely a felmondott alkalmazottak listáját tartalmazza, hogy észlelje vagy megakadályozza, hogy bejelentkezzenek a hálózatba.  

• Hozzon létre engedélyezési listákat a riasztási fáradtság csökkentése érdekében. Például használjon figyelőlistát egy engedélyezési lista létrehozásához, amely csak korlátozott számú IP-címről érkező riasztásokat bizonyos funkciók elvégzése érdekében tiltja el, és így eltávolítja a jóindulatú eseményeket, hogy riasztásokká váljanak. 

• Figyelőlisták használatával gazdagítsa eseményadatait külső adatforrásokból származó mező-érték kombinációkkal. 

Forrás: microsoft