Microsoft kondigt de openbare preview aan van de Watchlist-functie in Azure Sentinel

In 2019, Microsoft aangekondigd Azure Sentinel, een systeemeigen SIEM-tool (Security Information and Event Management) gebouwd in Azure. Hierdoor konden SecOps-teams bedreigingen zien en stoppen voordat ze de organisaties schade berokkenen. Microsoft heeft vandaag de openbare preview aangekondigd van de Watchlist-functie in Azure Sentinel.

Met volglijsten van Azure Sentinel kunnen gegevens uit externe gegevensbronnen worden verzameld voor correlatie met de gebeurtenissen in een Azure Sentinel-omgeving. SecOps-teams kunnen watchlists gebruiken in hun zoek-, detectieregels, dreigingsjacht- en respons-playbooks. De nieuwe functie voor volglijsten kan in de volgende scenario's worden gebruikt:

• Onderzoek bedreigingen en reageer snel op incidenten met snelle import van IP-adressen, bestandshashes, enz. uit csv-bestanden. Gebruik vervolgens de naam/waarde-paren van de volglijst om samen te voegen en te filteren voor gebruik in waarschuwingsregels, het opsporen van bedreigingen, werkmappen, notebooks en voor algemene vragen. 

• Importeer zakelijke gegevens, zoals gebruikerslijsten met bevoorrechte systeemtoegang, als volglijst. Gebruik vervolgens de volglijst om lijsten voor toestaan ​​en weigeren te maken. Gebruik bijvoorbeeld een watchlist met een lijst van ontslagen werknemers om te detecteren of te voorkomen dat ze inloggen op het netwerk.  

• Maak toelatingslijsten om waarschuwingsmoeheid te verminderen. Gebruik bijvoorbeeld een watchlist om een ​​toelatingslijst samen te stellen om waarschuwingen van slechts een beperkte set IP-adressen te onderdrukken om specifieke functies uit te voeren en zo te voorkomen dat goedaardige gebeurtenissen waarschuwingen worden. 

• Gebruik volglijsten om uw gebeurtenisgegevens te verrijken met veld-waardecombinaties die zijn afgeleid van externe gegevensbronnen. 

Bron: Microsoft