Microsoftは、AzureSentinelのウォッチリスト機能の公開プレビューを発表しました
2分。 読んだ
上で公開
この記事を共有する
このガイドを改善する
読者は MSpoweruser のサポートを支援します。私たちのリンクを通じて購入すると、手数料が発生する場合があります。
MSPoweruser の編集チームの維持にどのように貢献できるかについては、開示ページをお読みください。 続きを読む
2019年、マイクロソフト 発表の Azure Sentinelは、Azure内に構築されたネイティブのセキュリティ情報およびイベント管理(SIEM)ツールです。 これにより、SecOpsチームは、組織に害を及ぼす前に脅威を確認して阻止することができました。 Microsoftは本日、AzureSentinelのウォッチリスト機能の公開プレビューを発表しました。
Azure Sentinelウォッチリストを使用すると、外部データソースからデータを収集して、AzureSentinel環境のイベントと相関させることができます。 SecOpsチームは、検索、検出ルール、脅威のハンティング、および対応のプレイブックでウォッチリストを使用できます。 新しいウォッチリスト機能は、次のシナリオで使用できます。
- 脅威を調査し、csvファイルからIPアドレス、ファイルハッシュなどをすばやくインポートして、インシデントに迅速に対応します。 次に、ウォッチリストの名前と値のペアを利用して、アラートルール、脅威ハンティング、ワークブック、ノートブック、および一般的なクエリで使用するための参加とフィルタリングを行います。
- ウォッチリストとして、特権システムアクセスを持つユーザーリストなどのビジネスデータをインポートします。 次に、ウォッチリストを使用して、許可リストと拒否リストを作成します。 たとえば、解雇された従業員のリストを含むウォッチリストを使用して、ネットワークへのログインを検出または防止します。
- アラートの疲労を軽減するための許可リストを作成します。 たとえば、ウォッチリストを使用して許可リストを作成し、特定の機能を実行するために限られたIPアドレスのセットからのアラートのみを抑制して、良性のイベントがアラートになるのを防ぎます。
- ウォッチリストを使用して、外部データソースから派生したフィールドと値の組み合わせでイベントデータを充実させます。
情報源: Microsoft
