Корпорація Майкрософт оголошує про публічний попередній перегляд функції списку спостереження в Azure Sentinel
2 хв. читати
Опубліковано
Прочитайте нашу сторінку розкриття інформації, щоб дізнатися, як ви можете допомогти MSPoweruser підтримувати редакційну команду Читати далі
Ще в 2019 році, Microsoft оголошений Azure Sentinel, вбудований в Azure інструмент керування інформацією та подіями безпеки (SIEM). Це дозволило командам SecOps бачити та зупиняти загрози, перш ніж вони завдадуть будь-якої шкоди організаціям. Сьогодні Microsoft оголосила про публічний попередній перегляд функції Watchlist в Azure Sentinel.
Списки спостереження Azure Sentinel дозволять збирати дані із зовнішніх джерел даних для кореляції з подіями в середовищі Azure Sentinel. Команди SecOps можуть використовувати списки спостереження у своїх підручниках пошуку, правил виявлення, пошуку загроз та реагування. Нову функцію списків спостереження можна використовувати в таких випадках:
- Досліджуйте загрози та швидко реагуйте на інциденти за допомогою швидкого імпорту IP-адрес, хешів файлів тощо з файлів csv. Потім використовуйте пари ім’я/значення списку спостереження для об’єднання та фільтрації для використання в правилах оповіщення, пошуку загроз, робочих книгах, записниках та для загальних запитів.
- Імпортуйте бізнес-дані, наприклад списки користувачів із привілейованим доступом до системи, як список спостереження. Потім використовуйте список спостереження, щоб створити списки дозволів і заборон. Наприклад, використовуйте список спостереження, який містить список звільнених співробітників, щоб виявити або запобігти їх входу в мережу.
- Створіть дозволені списки, щоб зменшити втому від сповіщень. Наприклад, скористайтеся списком спостереження, щоб створити список дозволів, щоб придушити сповіщення лише з обмеженого набору IP-адрес, щоб виконувати певні функції і таким чином усувати доброякісні події, щоб не ставати попередженнями.
- Використовуйте списки спостереження, щоб збагатити свої дані про події комбінаціями значень поля, отриманими із зовнішніх джерел даних.
джерело: Microsoft