Microsoft tillkännager den offentliga förhandsvisningen av funktionen Watchlist i Azure Sentinel

Tillbaka 2019, Microsoft meddelade Azure Sentinel, ett inbyggt SIEM-verktyg (Security Information and Event Management) byggt i Azure. Det gjorde det möjligt för SecOps-team att se och stoppa hot innan de orsakar någon skada för organisationerna. Microsoft tillkännagav idag den offentliga förhandsvisningen av Watchlist-funktionen i Azure Sentinel.

Azure Sentinel bevakningslistor kommer att möjliggöra insamling av data från externa datakällor för korrelation mot händelserna i en Azure Sentinel-miljö. SecOps-team kan använda bevakningslistor i sina sök-, upptäcktsregler, hotjakt och svarsspelböcker. Den nya funktionen för bevakningslistor kan användas i följande scenarier:

• Undersök hot och reagera snabbt på incidenter med snabb import av IP-adresser, filhashar etc. från csv-filer. Använd sedan bevakningslistans namn/värdepar för att gå med och filtrera för användning i varningsregler, hotjakt, arbetsböcker, anteckningsböcker och för allmänna frågor. 

• Importera affärsdata, till exempel användarlistor med privilegierad systemåtkomst som en bevakningslista. Använd sedan bevakningslistan för att skapa tillåta och neka listor. Använd till exempel en bevakningslista som innehåller en lista över uppsagda anställda för att upptäcka eller förhindra dem från att logga in på nätverket.  

• Skapa tillåtelselistor för att minska larmtrötthet. Använd till exempel en bevakningslista för att bygga en tillåtslista för att undertrycka varningar från endast en begränsad uppsättning IP-adresser för att utföra specifika funktioner och därmed ta bort godartade händelser från att bli varningar. 

• Använd bevakningslistor för att berika din händelsedata med fält-värdekombinationer härledda från externa datakällor. 

Källa: Microsoft