Microsoft annuncia l'anteprima pubblica della funzionalità Watchlist in Azure Sentinel

Nel 2019, Microsoft ha annunciato Azure Sentinel, uno strumento SIEM (Security Information and Event Management) nativo creato all'interno di Azure. Ha consentito ai team SecOps di vedere e bloccare le minacce prima che causassero danni alle organizzazioni. Microsoft ha annunciato oggi l'anteprima pubblica della funzionalità Watchlist in Azure Sentinel.

Gli elenchi di controllo di Azure Sentinel consentiranno la raccolta di dati da origini dati esterne per la correlazione con gli eventi in un ambiente di Azure Sentinel. I team SecOps possono utilizzare le watchlist nelle loro ricerche, regole di rilevamento, caccia alle minacce e playbook di risposta. La nuova funzionalità delle watchlist può essere utilizzata nei seguenti scenari:

• Indaga sulle minacce e rispondi rapidamente agli incidenti con l'importazione rapida di indirizzi IP, hash di file, ecc. da file CSV. Quindi utilizzare le coppie nome/valore dell'elenco di controllo per unire e filtrare per l'uso in regole di avviso, ricerca di minacce, cartelle di lavoro, taccuini e per query generali. 

• Importa dati aziendali, come elenchi di utenti con accesso privilegiato al sistema come watchlist. Quindi usa la watchlist per creare liste di consenso e di rifiuto. Ad esempio, utilizzare una watchlist che contiene un elenco di dipendenti licenziati per rilevare o impedire loro di accedere alla rete.  

• Crea elenchi consentiti per ridurre l'affaticamento degli avvisi. Ad esempio, utilizzare una watchlist per creare un elenco di autorizzazioni per sopprimere gli avvisi solo da un insieme limitato di indirizzi IP per svolgere funzioni specifiche e quindi rimuovere gli eventi benigni dal diventare avvisi. 

• Utilizza le watchlist per arricchire i dati dei tuoi eventi con combinazioni di valori di campo derivate da origini dati esterne. 

Fonte: Microsoft