Microsoft anunță previzualizarea publică a funcției Lista de urmărire în Azure Sentinel

În 2019, Microsoft a anunțat Azure Sentinel, un instrument nativ de gestionare a informațiilor și evenimentelor de securitate (SIEM) construit în Azure. A permis echipelor SecOps să vadă și să oprească amenințările înainte ca acestea să provoace vreun rău organizațiilor. Microsoft a anunțat astăzi previzualizarea publică a funcției Lista de urmărire în Azure Sentinel.

Listele de urmărire Azure Sentinel vor permite colectarea datelor din surse de date externe pentru corelarea cu evenimentele dintr-un mediu Azure Sentinel. Echipele SecOps pot folosi listele de urmărire în căutările, regulile de detectare, vânătoarea de amenințări și manualele de răspuns. Noua funcție de liste de urmărire poate fi utilizată în următoarele scenarii:

• Investigați amenințările și răspundeți rapid la incidente cu importul rapid de adrese IP, hash-uri de fișiere etc. din fișierele csv. Apoi utilizați perechile nume/valoare din lista de urmărire pentru aderare și filtrare pentru a fi utilizate în regulile de alertă, vânătoarea de amenințări, registre de lucru, caiete și pentru interogări generale. 

• Importați date de afaceri, cum ar fi liste de utilizatori cu acces privilegiat la sistem ca listă de urmărire. Apoi utilizați lista de urmărire pentru a crea liste de permis și de respingere. De exemplu, utilizați o listă de urmărire care conține o listă de angajați concediați pentru a-i detecta sau a le împiedica să se conecteze la rețea.  

• Creați liste de permise pentru a reduce oboseala alertelor. De exemplu, utilizați o listă de urmărire pentru a crea o listă de permise pentru a suprima alertele doar de la un set limitat de adrese IP pentru a face anumite funcții și, astfel, pentru a elimina evenimentele benigne de la a deveni alerte. 

• Utilizați listele de urmărire pentru a vă îmbogăți datele despre evenimente cu combinații câmp-valoare derivate din surse de date externe. 

Sursa: Microsoft