Azure Sentinel 日志分析SOC運(yùn)維,azure active directory 介紹-ESG跨境

Azure Sentinel 日志分析SOC運(yùn)維,azure active directory 介紹

Azure Sentinel日志分析SOC運(yùn)維

數(shù)字化轉(zhuǎn)型和云轉(zhuǎn)型的浪潮正在不斷沖擊著企業(yè)的信息安全響應(yīng)能力。

同時(shí)，我們發(fā)現(xiàn)企業(yè)信息安全僅僅依靠網(wǎng)絡(luò)防御是不夠的。只有主動(dòng)應(yīng)對(duì)風(fēng)險(xiǎn)，才能滿足企業(yè)信息安全的需求。

因此，企業(yè)需要能夠連接所有系統(tǒng)，并從中收集數(shù)據(jù)，無(wú)論是在云上還是在企業(yè)內(nèi)部，商業(yè)數(shù)據(jù)還是系統(tǒng)生成的數(shù)據(jù)。

傳統(tǒng)的SIEM方法根本跟不上變革的步伐，企業(yè)也沒有更多的資金來(lái)解決這個(gè)問題。

關(guān)于安全日志分析，F(xiàn)lyingnets不僅可以提供splunk和elk分析，還可以基于sentinel分析數(shù)據(jù)。

因此，對(duì)于微軟用戶來(lái)說(shuō)，F(xiàn)lyingnets基于Azure Sentinel為企業(yè)提供全面的日志分析、安全運(yùn)營(yíng)和服務(wù)。

什么蔚藍(lán)哨兵？

這是一個(gè)可擴(kuò)展的云原生安全信息事件管理(SIEM)和安全業(yè)務(wù)流程自動(dòng)響應(yīng)(SOAR)解決方案。

Azure Sentinel在整個(gè)企業(yè)范圍內(nèi)提供智能安全分析和智能威脅警報(bào)服務(wù)，為警報(bào)檢測(cè)、威脅可見性、主動(dòng)搜索和威脅響應(yīng)提供統(tǒng)一的解決方案。

跨用戶、設(shè)備、應(yīng)用和基礎(chǔ)結(jié)構(gòu)(包括本地和多個(gè)云)大規(guī)模收集數(shù)據(jù)。

利用微軟的分析和出色的威脅情報(bào)，它可以檢測(cè)到以前未檢測(cè)到的威脅，并將誤報(bào)降至最低。

利用人工智能調(diào)查威脅，結(jié)合微軟多年的網(wǎng)絡(luò)安全經(jīng)驗(yàn)，可以大規(guī)模搜索可疑活動(dòng)。

通過內(nèi)置的業(yè)務(wù)流程和常見任務(wù)自動(dòng)化，it可以快速響應(yīng)事件。

Flyingnets將Azure Sentinel用于SOC

服務(wù)流程圖

01添加數(shù)據(jù)源

Azure Sentinel為微軟解決方案提供了許多現(xiàn)成的連接器，提供實(shí)時(shí)數(shù)據(jù)。此外，內(nèi)置連接器可以擴(kuò)展非微軟解決方案的安全生態(tài)系統(tǒng)。您還可以使用通用事件格式Syslog或RESTAPI將數(shù)據(jù)源與Azure Sentinel連接起來(lái)。連接數(shù)據(jù)源后，我們可以使用Azure Sentinel來(lái)分析連接的安全產(chǎn)品的數(shù)據(jù)。

02 創(chuàng)建工作簿

將數(shù)據(jù)源連接到Azure Sentinel后，您可以通過使用Azure Sentinel與Azure Monitor工作簿的集成來(lái)監(jiān)控?cái)?shù)據(jù)，這為創(chuàng)建自定義工作簿提供了多樣性。Azure Sentinel允許你創(chuàng)建跨數(shù)據(jù)源的自定義工作簿，它還自帶了大量?jī)?nèi)置的工作簿模板供你使用，讓你在連接到數(shù)據(jù)源后可以快速方便地獲得分析結(jié)果。

03 創(chuàng)建事件

為了幫助減少干擾并最小化需要檢查和調(diào)查的警報(bào)數(shù)量，Azure Sentinel使用分析將警報(bào)與事件相關(guān)聯(lián)。是一組相關(guān)的警報(bào)，它們共同形成一個(gè)完整的視圖，可以調(diào)查和解決潛在的威脅。您可以使用內(nèi)置的關(guān)聯(lián)規(guī)則，或者以它們?yōu)槠瘘c(diǎn)創(chuàng)建自己的關(guān)聯(lián)規(guī)則。

04 創(chuàng)建自動(dòng)化警報(bào)

自動(dòng)化常見任務(wù)，并使用可以與Azure服務(wù)和現(xiàn)有工具集成的劇本來(lái)簡(jiǎn)化安全的業(yè)務(wù)流程。Azure Sentinel的自動(dòng)化和業(yè)務(wù)流程解決方案建立在Azure邏輯應(yīng)用程序的基礎(chǔ)之上，當(dāng)新技術(shù)和威脅出現(xiàn)時(shí)，它可以提供高度可擴(kuò)展的架構(gòu)。

05主動(dòng)搜索威脅事件

根據(jù)MITRE framework，Azure Sentinel強(qiáng)大的搜索功能和查詢工具可以用來(lái)在觸發(fā)警報(bào)之前主動(dòng)搜索一個(gè)組織的不同數(shù)據(jù)源中的安全威脅。在發(fā)現(xiàn)哪個(gè)搜索查詢可以提供有關(guān)潛在攻擊的建議后，您可以基于該查詢創(chuàng)建自定義檢測(cè)規(guī)則或?qū)⑵鋭?chuàng)建為警報(bào)。

06 調(diào)查觸發(fā)的危險(xiǎn)或警報(bào)

點(diǎn)擊首頁(yè)觸發(fā)的事件，可以使用深度調(diào)查工具了解潛在安全威脅的范圍，找到事件觸發(fā)的根本原因。您可以在交互圖中選擇一個(gè)實(shí)體，提取關(guān)于特定實(shí)體的相關(guān)信息，然后深入到該實(shí)體及其連接，以獲得威脅的根本原因，然后分析一些關(guān)鍵信息，以確定事件中是否存在威脅。(圖例為用戶舉報(bào)釣魚郵件事件)。

結(jié)束警報(bào):

當(dāng)特定事件得到解決或您的調(diào)查得出結(jié)論時(shí)，您可以將事件的狀態(tài)設(shè)置為“已關(guān)閉”。關(guān)閉事件時(shí)，可以通過指定關(guān)閉原因來(lái)對(duì)事件進(jìn)行分類。單擊分類，并從下拉列表中選擇以下選項(xiàng)之一:

真實(shí)可疑活動(dòng)

良性可疑，但在意料之中

假報(bào)警邏輯不正確。

錯(cuò)誤不正確的數(shù)據(jù)

未確定的

選擇適當(dāng)?shù)姆诸惡?，您可以添加一些描述性文本。這將有助于對(duì)此事件的審查。完成后，單擊“應(yīng)用”,活動(dòng)將關(guān)閉。

到目前為止，這是一個(gè)使用Azure Sentinel從訪問數(shù)據(jù)源到處理觸發(fā)事件或報(bào)警的完整過程。

在安全領(lǐng)域，借助Azure Sentinel，Philosoc將為您分析最新的信息安全威脅情報(bào)，這些情報(bào)是微軟通過分析每天數(shù)萬(wàn)億的信號(hào)而獲得的。

憑借微軟在全球管理安全方面數(shù)十年的經(jīng)驗(yàn)，F(xiàn)lyingnets可以為您的企業(yè)創(chuàng)造一個(gè)更加安全的信息環(huán)境。

下圖顯示了Azure Sentinel可以訪問的數(shù)據(jù)源列表:

Azure Sentinel用于分析access數(shù)據(jù)的可視化頁(yè)面:[/s2/]
文章推薦
采購(gòu)國(guó)外二手挖掘機(jī)如何進(jìn)口到國(guó)內(nèi),啟辰機(jī)械進(jìn)口二手挖掘機(jī)
Audience Network 原生、橫幅和插屏版位 圖片廣告發(fā)布指南,audience數(shù)碼安裝視頻
AWS、Azure、Google云 誰(shuí)的免費(fèi)層更好,azureiot云服務(wù)器
App Store常見的App拒絕情況,美區(qū)app store有哪些好的app

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。