Microsoft oznamuje verejnú ukážku funkcie Watchlist v Azure Sentinel

V roku 2019 Microsoft oznámila, Azure Sentinel, natívny nástroj správy bezpečnostných informácií a udalostí (SIEM) vytvorený v rámci Azure. Tímom SecOps to umožnilo vidieť a zastaviť hrozby skôr, ako spôsobia organizáciám akúkoľvek škodu. Microsoft dnes oznámil verejnú ukážku funkcie Watchlist v Azure Sentinel.

Zoznamy sledovania Azure Sentinel umožnia zhromažďovanie údajov z externých zdrojov údajov na účely korelácie s udalosťami v prostredí Azure Sentinel. Tímy SecOps môžu používať zoznamy sledovaných osôb pri vyhľadávaní, pravidlách detekcie, vyhľadávaní hrozieb a príručkách odozvy. Novú funkciu zoznamov sledovaných je možné použiť v nasledujúcich scenároch:

• Skúmajte hrozby a rýchlo reagujte na incidenty pomocou rýchleho importu IP adries, hash súborov atď. zo súborov csv. Potom použite dvojice názvov/hodnotov zoznamu sledovaných položiek na spájanie a filtrovanie na použitie v pravidlách výstrah, vyhľadávaní hrozieb, zošitoch, poznámkových blokoch a pri všeobecných dopytoch. 

• Importujte obchodné údaje, ako sú zoznamy používateľov s privilegovaným systémovým prístupom, ako zoznam sledovaných. Potom použite zoznam sledovaných na vytvorenie zoznamov povolení a zakázaní. Napríklad použite zoznam sledovaných zamestnancov, ktorý obsahuje zoznam prepustených zamestnancov, aby ste zistili alebo im zabránili v prihlásení do siete.  

• Vytvorte zoznamy povolených na zníženie únavy z varovania. Napríklad použite zoznam sledovaných na vytvorenie zoznamu povolených na potlačenie upozornení len z obmedzenej množiny adries IP, aby ste mohli vykonávať špecifické funkcie, a tak odstrániť z nezhubných udalostí, aby sa z nich stali upozornenia. 

• Použite zoznamy sledovaných na obohatenie údajov o udalostiach o kombinácie hodnôt poľa odvodené z externých zdrojov údajov. 

zdroj: Microsoft