Microsoft kondigt de openbare preview aan van de Watchlist-functie in Azure Sentinel
2 minuut. lezen
Uitgegeven op
Lees onze openbaarmakingspagina om erachter te komen hoe u MSPoweruser kunt helpen het redactieteam te ondersteunen Lees meer
In 2019, Microsoft aangekondigd Azure Sentinel, een systeemeigen SIEM-tool (Security Information and Event Management) gebouwd in Azure. Hierdoor konden SecOps-teams bedreigingen zien en stoppen voordat ze de organisaties schade berokkenen. Microsoft heeft vandaag de openbare preview aangekondigd van de Watchlist-functie in Azure Sentinel.
Met volglijsten van Azure Sentinel kunnen gegevens uit externe gegevensbronnen worden verzameld voor correlatie met de gebeurtenissen in een Azure Sentinel-omgeving. SecOps-teams kunnen watchlists gebruiken in hun zoek-, detectieregels, dreigingsjacht- en respons-playbooks. De nieuwe functie voor volglijsten kan in de volgende scenario's worden gebruikt:
- Onderzoek bedreigingen en reageer snel op incidenten met snelle import van IP-adressen, bestandshashes, enz. uit csv-bestanden. Gebruik vervolgens de naam/waarde-paren van de volglijst om samen te voegen en te filteren voor gebruik in waarschuwingsregels, het opsporen van bedreigingen, werkmappen, notebooks en voor algemene vragen.
- Importeer zakelijke gegevens, zoals gebruikerslijsten met bevoorrechte systeemtoegang, als volglijst. Gebruik vervolgens de volglijst om lijsten voor toestaan en weigeren te maken. Gebruik bijvoorbeeld een watchlist met een lijst van ontslagen werknemers om te detecteren of te voorkomen dat ze inloggen op het netwerk.
- Maak toelatingslijsten om waarschuwingsmoeheid te verminderen. Gebruik bijvoorbeeld een watchlist om een toelatingslijst samen te stellen om waarschuwingen van slechts een beperkte set IP-adressen te onderdrukken om specifieke functies uit te voeren en zo te voorkomen dat goedaardige gebeurtenissen waarschuwingen worden.
- Gebruik volglijsten om uw gebeurtenisgegevens te verrijken met veld-waardecombinaties die zijn afgeleid van externe gegevensbronnen.
Bron: Microsoft