Корпорація Майкрософт оголошує про публічний попередній перегляд функції списку спостереження в Azure Sentinel

Ще в 2019 році, Microsoft оголошений Azure Sentinel, вбудований в Azure інструмент керування інформацією та подіями безпеки (SIEM). Це дозволило командам SecOps бачити та зупиняти загрози, перш ніж вони завдадуть будь-якої шкоди організаціям. Сьогодні Microsoft оголосила про публічний попередній перегляд функції Watchlist в Azure Sentinel.

Списки спостереження Azure Sentinel дозволять збирати дані із зовнішніх джерел даних для кореляції з подіями в середовищі Azure Sentinel. Команди SecOps можуть використовувати списки спостереження у своїх підручниках пошуку, правил виявлення, пошуку загроз та реагування. Нову функцію списків спостереження можна використовувати в таких випадках:

• Досліджуйте загрози та швидко реагуйте на інциденти за допомогою швидкого імпорту IP-адрес, хешів файлів тощо з файлів csv. Потім використовуйте пари ім’я/значення списку спостереження для об’єднання та фільтрації для використання в правилах оповіщення, пошуку загроз, робочих книгах, записниках та для загальних запитів. 

• Імпортуйте бізнес-дані, наприклад списки користувачів із привілейованим доступом до системи, як список спостереження. Потім використовуйте список спостереження, щоб створити списки дозволів і заборон. Наприклад, використовуйте список спостереження, який містить список звільнених співробітників, щоб виявити або запобігти їх входу в мережу.  

• Створіть дозволені списки, щоб зменшити втому від сповіщень. Наприклад, скористайтеся списком спостереження, щоб створити список дозволів, щоб придушити сповіщення лише з обмеженого набору IP-адрес, щоб виконувати певні функції і таким чином усувати доброякісні події, щоб не ставати попередженнями. 

• Використовуйте списки спостереження, щоб збагатити свої дані про події комбінаціями значень поля, отриманими із зовнішніх джерел даних. 

джерело: Microsoft