Microsoft oznamuje verejnú ukážku funkcie Watchlist v Azure Sentinel
2 min. čítať
Publikované dňa
Prečítajte si našu informačnú stránku a zistite, ako môžete pomôcť MSPoweruser udržať redakčný tím Čítaj viac
V roku 2019 Microsoft oznámila, Azure Sentinel, natívny nástroj správy bezpečnostných informácií a udalostí (SIEM) vytvorený v rámci Azure. Tímom SecOps to umožnilo vidieť a zastaviť hrozby skôr, ako spôsobia organizáciám akúkoľvek škodu. Microsoft dnes oznámil verejnú ukážku funkcie Watchlist v Azure Sentinel.
Zoznamy sledovania Azure Sentinel umožnia zhromažďovanie údajov z externých zdrojov údajov na účely korelácie s udalosťami v prostredí Azure Sentinel. Tímy SecOps môžu používať zoznamy sledovaných osôb pri vyhľadávaní, pravidlách detekcie, vyhľadávaní hrozieb a príručkách odozvy. Novú funkciu zoznamov sledovaných je možné použiť v nasledujúcich scenároch:
- Skúmajte hrozby a rýchlo reagujte na incidenty pomocou rýchleho importu IP adries, hash súborov atď. zo súborov csv. Potom použite dvojice názvov/hodnotov zoznamu sledovaných položiek na spájanie a filtrovanie na použitie v pravidlách výstrah, vyhľadávaní hrozieb, zošitoch, poznámkových blokoch a pri všeobecných dopytoch.
- Importujte obchodné údaje, ako sú zoznamy používateľov s privilegovaným systémovým prístupom, ako zoznam sledovaných. Potom použite zoznam sledovaných na vytvorenie zoznamov povolení a zakázaní. Napríklad použite zoznam sledovaných zamestnancov, ktorý obsahuje zoznam prepustených zamestnancov, aby ste zistili alebo im zabránili v prihlásení do siete.
- Vytvorte zoznamy povolených na zníženie únavy z varovania. Napríklad použite zoznam sledovaných na vytvorenie zoznamu povolených na potlačenie upozornení len z obmedzenej množiny adries IP, aby ste mohli vykonávať špecifické funkcie, a tak odstrániť z nezhubných udalostí, aby sa z nich stali upozornenia.
- Použite zoznamy sledovaných na obohatenie údajov o udalostiach o kombinácie hodnôt poľa odvodené z externých zdrojov údajov.
zdroj: Microsoft