Azure Sentinel 日志分析SOC運維,azure active directory 介紹-ESG跨境

Azure Sentinel 日志分析SOC運維,azure active directory 介紹

Azure Sentinel日志分析SOC運維

數(shù)字化轉(zhuǎn)型和云轉(zhuǎn)型的浪潮正在不斷沖擊著企業(yè)的信息安全響應能力。

同時，我們發(fā)現(xiàn)企業(yè)信息安全僅僅依靠網(wǎng)絡防御是不夠的。只有主動應對風險，才能滿足企業(yè)信息安全的需求。

因此，企業(yè)需要能夠連接所有系統(tǒng)，并從中收集數(shù)據(jù)，無論是在云上還是在企業(yè)內(nèi)部，商業(yè)數(shù)據(jù)還是系統(tǒng)生成的數(shù)據(jù)。

傳統(tǒng)的SIEM方法根本跟不上變革的步伐，企業(yè)也沒有更多的資金來解決這個問題。

關于安全日志分析，F(xiàn)lyingnets不僅可以提供splunk和elk分析，還可以基于sentinel分析數(shù)據(jù)。

因此，對于微軟用戶來說，F(xiàn)lyingnets基于Azure Sentinel為企業(yè)提供全面的日志分析、安全運營和服務。

什么蔚藍哨兵？

這是一個可擴展的云原生安全信息事件管理(SIEM)和安全業(yè)務流程自動響應(SOAR)解決方案。

Azure Sentinel在整個企業(yè)范圍內(nèi)提供智能安全分析和智能威脅警報服務，為警報檢測、威脅可見性、主動搜索和威脅響應提供統(tǒng)一的解決方案。

跨用戶、設備、應用和基礎結(jié)構(gòu)(包括本地和多個云)大規(guī)模收集數(shù)據(jù)。

利用微軟的分析和出色的威脅情報，它可以檢測到以前未檢測到的威脅，并將誤報降至最低。

利用人工智能調(diào)查威脅，結(jié)合微軟多年的網(wǎng)絡安全經(jīng)驗，可以大規(guī)模搜索可疑活動。

通過內(nèi)置的業(yè)務流程和常見任務自動化，it可以快速響應事件。

Flyingnets將Azure Sentinel用于SOC

服務流程圖

01添加數(shù)據(jù)源

Azure Sentinel為微軟解決方案提供了許多現(xiàn)成的連接器，提供實時數(shù)據(jù)。此外，內(nèi)置連接器可以擴展非微軟解決方案的安全生態(tài)系統(tǒng)。您還可以使用通用事件格式Syslog或RESTAPI將數(shù)據(jù)源與Azure Sentinel連接起來。連接數(shù)據(jù)源后，我們可以使用Azure Sentinel來分析連接的安全產(chǎn)品的數(shù)據(jù)。

02 創(chuàng)建工作簿

將數(shù)據(jù)源連接到Azure Sentinel后，您可以通過使用Azure Sentinel與Azure Monitor工作簿的集成來監(jiān)控數(shù)據(jù)，這為創(chuàng)建自定義工作簿提供了多樣性。Azure Sentinel允許你創(chuàng)建跨數(shù)據(jù)源的自定義工作簿，它還自帶了大量內(nèi)置的工作簿模板供你使用，讓你在連接到數(shù)據(jù)源后可以快速方便地獲得分析結(jié)果。

03 創(chuàng)建事件

為了幫助減少干擾并最小化需要檢查和調(diào)查的警報數(shù)量，Azure Sentinel使用分析將警報與事件相關聯(lián)。是一組相關的警報，它們共同形成一個完整的視圖，可以調(diào)查和解決潛在的威脅。您可以使用內(nèi)置的關聯(lián)規(guī)則，或者以它們?yōu)槠瘘c創(chuàng)建自己的關聯(lián)規(guī)則。

04 創(chuàng)建自動化警報

自動化常見任務，并使用可以與Azure服務和現(xiàn)有工具集成的劇本來簡化安全的業(yè)務流程。Azure Sentinel的自動化和業(yè)務流程解決方案建立在Azure邏輯應用程序的基礎之上，當新技術和威脅出現(xiàn)時，它可以提供高度可擴展的架構(gòu)。

05主動搜索威脅事件

根據(jù)MITRE framework，Azure Sentinel強大的搜索功能和查詢工具可以用來在觸發(fā)警報之前主動搜索一個組織的不同數(shù)據(jù)源中的安全威脅。在發(fā)現(xiàn)哪個搜索查詢可以提供有關潛在攻擊的建議后，您可以基于該查詢創(chuàng)建自定義檢測規(guī)則或?qū)⑵鋭?chuàng)建為警報。

06 調(diào)查觸發(fā)的危險或警報

點擊首頁觸發(fā)的事件，可以使用深度調(diào)查工具了解潛在安全威脅的范圍，找到事件觸發(fā)的根本原因。您可以在交互圖中選擇一個實體，提取關于特定實體的相關信息，然后深入到該實體及其連接，以獲得威脅的根本原因，然后分析一些關鍵信息，以確定事件中是否存在威脅。(圖例為用戶舉報釣魚郵件事件)。

結(jié)束警報:

當特定事件得到解決或您的調(diào)查得出結(jié)論時，您可以將事件的狀態(tài)設置為“已關閉”。關閉事件時，可以通過指定關閉原因來對事件進行分類。單擊分類，并從下拉列表中選擇以下選項之一:

真實可疑活動

良性可疑，但在意料之中

假報警邏輯不正確。

錯誤不正確的數(shù)據(jù)

未確定的

選擇適當?shù)姆诸惡螅梢蕴砑右恍┟枋鲂晕谋?。這將有助于對此事件的審查。完成后，單擊“應用”,活動將關閉。

到目前為止，這是一個使用Azure Sentinel從訪問數(shù)據(jù)源到處理觸發(fā)事件或報警的完整過程。

在安全領域，借助Azure Sentinel，Philosoc將為您分析最新的信息安全威脅情報，這些情報是微軟通過分析每天數(shù)萬億的信號而獲得的。

憑借微軟在全球管理安全方面數(shù)十年的經(jīng)驗，F(xiàn)lyingnets可以為您的企業(yè)創(chuàng)造一個更加安全的信息環(huán)境。

下圖顯示了Azure Sentinel可以訪問的數(shù)據(jù)源列表:

Azure Sentinel用于分析access數(shù)據(jù)的可視化頁面:[/s2/]
文章推薦
采購國外二手挖掘機如何進口到國內(nèi),啟辰機械進口二手挖掘機
Audience Network 原生、橫幅和插屏版位 圖片廣告發(fā)布指南,audience數(shù)碼安裝視頻
AWS、Azure、Google云 誰的免費層更好,azureiot云服務器
App Store常見的App拒絕情況,美區(qū)app store有哪些好的app

特別聲明：以上文章內(nèi)容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。