Microsoft, Azure Sentinel의 Watchlist 기능 공개 미리 보기 발표
2 분. 읽다
에 게시됨
이 기사 공유
이 가이드를 개선하세요
독자들은 MSpoweruser를 지원하는 데 도움을 줍니다. 당사의 링크를 통해 구매하시면 수수료를 받을 수 있습니다.
공개 페이지를 읽고 MSPoweruser가 편집팀을 유지하는 데 어떻게 도움을 줄 수 있는지 알아보세요. 자세히 보기
2019 년 마이크로 소프트 발표 Azure에 구축된 기본 SIEM(보안 정보 및 이벤트 관리) 도구인 Azure Sentinel입니다. 이를 통해 SecOps 팀은 위협이 조직에 해를 끼치기 전에 위협을 확인하고 차단할 수 있었습니다. Microsoft는 오늘 Azure Sentinel의 Watchlist 기능에 대한 공개 미리 보기를 발표했습니다.
Azure Sentinel 감시 목록을 사용하면 Azure Sentinel 환경의 이벤트에 대한 상관 관계를 위해 외부 데이터 원본에서 데이터를 수집할 수 있습니다. SecOps 팀은 검색, 탐지 규칙, 위협 추적 및 대응 플레이북에서 감시 목록을 사용할 수 있습니다. 새로운 관심 목록 기능은 다음 시나리오에서 사용할 수 있습니다.
- csv 파일에서 IP 주소, 파일 해시 등을 빠르게 가져와 위협을 조사하고 사건에 신속하게 대응합니다. 그런 다음 경고 규칙, 위협 추적, 통합 문서, 노트북 및 일반 쿼리에 사용하기 위해 조인 및 필터링에 관심 목록 이름/값 쌍을 활용합니다.
- 감시 목록으로 시스템 액세스 권한이 있는 사용자 목록과 같은 비즈니스 데이터를 가져옵니다. 그런 다음 감시 목록을 사용하여 허용 및 거부 목록을 만듭니다. 예를 들어 해고된 직원 목록이 포함된 감시 목록을 사용하여 직원이 네트워크에 로그인하는 것을 감지하거나 방지할 수 있습니다.
- 경고 피로를 줄이기 위해 허용 목록을 만듭니다. 예를 들어 감시 목록을 사용하여 특정 기능을 수행하는 제한된 IP 주소 집합의 경고를 억제하고 양성 이벤트가 경고가 되지 않도록 하는 허용 목록을 작성합니다.
- 감시 목록을 사용하여 외부 데이터 소스에서 파생된 필드-값 조합으로 이벤트 데이터를 강화합니다.
출처: Microsoft
