Microsoft công bố bản xem trước công khai của tính năng Danh sách theo dõi trong Azure Sentinel

Trở lại năm 2019, Microsoft công bố Azure Sentinel, một công cụ Quản lý Sự kiện và Thông tin Bảo mật (SIEM) bản địa được xây dựng trong Azure. Nó cho phép các nhóm SecOps nhìn thấy và ngăn chặn các mối đe dọa trước khi chúng gây ra bất kỳ tổn hại nào cho tổ chức. Microsoft hôm nay đã công bố bản xem trước công khai của tính năng Watchlist trong Azure Sentinel.

Danh sách theo dõi của Azure Sentinel sẽ cho phép thu thập dữ liệu từ các nguồn dữ liệu bên ngoài để có mối tương quan với các sự kiện trong môi trường Azure Sentinel. Các nhóm SecOps có thể sử dụng danh sách theo dõi trong tìm kiếm, quy tắc phát hiện, tìm kiếm mối đe dọa và sách phát phản ứng. Tính năng danh sách theo dõi mới có thể được sử dụng trong các trường hợp sau:

• Điều tra các mối đe dọa và phản ứng với các sự cố nhanh chóng bằng cách nhập nhanh địa chỉ IP, băm tệp, v.v. từ tệp csv. Sau đó, sử dụng các cặp giá trị / tên danh sách theo dõi để tham gia và lọc để sử dụng trong các quy tắc cảnh báo, săn tìm mối đe dọa, sổ làm việc, sổ ghi chép và cho các truy vấn chung. 

• Nhập dữ liệu doanh nghiệp, chẳng hạn như danh sách người dùng có quyền truy cập hệ thống đặc quyền dưới dạng danh sách theo dõi. Sau đó, sử dụng danh sách theo dõi để tạo danh sách cho phép và từ chối. Ví dụ: sử dụng danh sách theo dõi chứa danh sách các nhân viên bị chấm dứt hợp đồng để phát hiện hoặc ngăn họ đăng nhập vào mạng.  

• Tạo danh sách cho phép để giảm mệt mỏi khi cảnh báo. Ví dụ: sử dụng danh sách theo dõi để xây dựng danh sách cho phép ngăn chặn cảnh báo chỉ từ một tập hợp giới hạn địa chỉ IP để thực hiện các chức năng cụ thể và do đó loại bỏ các sự kiện lành tính khỏi trở thành cảnh báo. 

• Sử dụng danh sách theo dõi để làm phong phú thêm dữ liệu sự kiện của bạn với các kết hợp giá trị trường lấy từ các nguồn dữ liệu bên ngoài. 

nguồn: microsoft