Microsoft napoveduje javni predogled funkcije Watchlist v Azure Sentinel

Nazaj v letu 2019, Microsoft razglasitve Azure Sentinel, izvirno orodje za upravljanje varnostnih informacij in dogodkov (SIEM), vgrajeno v Azure. Omogočil je ekipam SecOps, da vidijo in ustavijo grožnje, preden povzročijo kakršno koli škodo organizacijam. Microsoft je danes objavil javni predogled funkcije Watchlist v Azure Sentinel.

Nadzorni seznami Azure Sentinel bodo omogočili zbiranje podatkov iz zunanjih virov podatkov za primerjavo z dogodki v okolju Azure Sentinel. Ekipe SecOps lahko uporabljajo sezname za opazovanje pri iskanju, pravilih odkrivanja, lovu na grožnje in navodilih za odzivanje. Nova funkcija seznamov opazovanja se lahko uporablja v naslednjih primerih:

• Raziščite grožnje in se hitro odzivajte na incidente s hitrim uvozom naslovov IP, zgoščenih datotek itd. iz datotek csv. Nato uporabite pare ime/vrednost seznama opazovanja za združevanje in filtriranje za uporabo v pravilih opozoril, lovu na grožnje, delovnih zvezkih, zvezkih in za splošne poizvedbe. 

• Uvozite poslovne podatke, kot so seznami uporabnikov s privilegiranim dostopom do sistema, kot seznam za spremljanje. Nato uporabite seznam za spremljanje, da ustvarite sezname dovoljenj in zavrnitev. Uporabite na primer seznam za spremljanje, ki vsebuje seznam odpuščenih zaposlenih, da zaznate ali preprečite, da bi se prijavili v omrežje.  

• Ustvarite sezname dovoljenj, da zmanjšate utrujenost zaradi opozoril. Uporabite na primer seznam za spremljanje, da sestavite seznam dovoljenj, da zatirate opozorila samo z omejenega nabora naslovov IP, da opravite določene funkcije in tako odstranite benigne dogodke, da ne postanejo opozorila. 

• Uporabite sezname za spremljanje, da obogatite svoje podatke o dogodkih s kombinacijami vrednosti polja, pridobljenimi iz zunanjih virov podatkov. 

vir: Microsoft