Azure Sentinel 日志分析SOC運(yùn)維,azure active directory 介紹

Azure Sentinel日志分析SOC運(yùn)維

數(shù)字化轉(zhuǎn)型和云轉(zhuǎn)型的浪潮正在不斷沖擊著企業(yè)的信息安全響應(yīng)能力。

同時，我們發(fā)現(xiàn)企業(yè)信息安全僅僅依靠網(wǎng)絡(luò)防御是不夠的。只有主動應(yīng)對風(fēng)險，才能滿足企業(yè)信息安全的需求。

因此，企業(yè)需要能夠連接所有系統(tǒng)，并從中收集數(shù)據(jù)，無論是在云上還是在企業(yè)內(nèi)部，商業(yè)數(shù)據(jù)還是系統(tǒng)生成的數(shù)據(jù)。

傳統(tǒng)的SIEM方法根本跟不上變革的步伐，企業(yè)也沒有更多的資金來解決這個問題。

關(guān)于安全日志分析，F(xiàn)lyingnets不僅可以提供splunk和elk分析，還可以基于sentinel分析數(shù)據(jù)。

因此，對于微軟用戶來說，F(xiàn)lyingnets基于Azure Sentinel為企業(yè)提供全面的日志分析、安全運(yùn)營和服務(wù)。

什么蔚藍(lán)哨兵？

這是一個可擴(kuò)展的云原生安全信息事件管理(SIEM)和安全業(yè)務(wù)流程自動響應(yīng)(SOAR)解決方案。

Azure Sentinel在整個企業(yè)范圍內(nèi)提供智能安全分析和智能威脅警報服務(wù)，為警報檢測、威脅可見性、主動搜索和威脅響應(yīng)提供統(tǒng)一的解決方案。

跨用戶、設(shè)備、應(yīng)用和基礎(chǔ)結(jié)構(gòu)(包括本地和多個云)大規(guī)模收集數(shù)據(jù)。

利用微軟的分析和出色的威脅情報，它可以檢測到以前未檢測到的威脅，并將誤報降至最低。

利用人工智能調(diào)查威脅，結(jié)合微軟多年的網(wǎng)絡(luò)安全經(jīng)驗(yàn)，可以大規(guī)模搜索可疑活動。

通過內(nèi)置的業(yè)務(wù)流程和常見任務(wù)自動化，it可以快速響應(yīng)事件。

Flyingnets將Azure Sentinel用于SOC

服務(wù)流程圖

01添加數(shù)據(jù)源

Azure Sentinel為微軟解決方案提供了許多現(xiàn)成的連接器，提供實(shí)時數(shù)據(jù)。此外，內(nèi)置連接器可以擴(kuò)展非微軟解決方案的安全生態(tài)系統(tǒng)。您還可以使用通用事件格式Syslog或RESTAPI將數(shù)據(jù)源與Azure Sentinel連接起來。連接數(shù)據(jù)源后，我們可以使用Azure Sentinel來分析連接的安全產(chǎn)品的數(shù)據(jù)。

02 創(chuàng)建工作簿

將數(shù)據(jù)源連接到Azure Sentinel后，您可以通過使用Azure Sentinel與Azure Monitor工作簿的集成來監(jiān)控數(shù)據(jù)，這為創(chuàng)建自定義工作簿提供了多樣性。Azure Sentinel允許你創(chuàng)建跨數(shù)據(jù)源的自定義工作簿，它還自帶了大量內(nèi)置的工作簿模板供你使用，讓你在連接到數(shù)據(jù)源后可以快速方便地獲得分析結(jié)果。

03 創(chuàng)建事件

為了幫助減少干擾并最小化需要檢查和調(diào)查的警報數(shù)量，Azure Sentinel使用分析將警報與事件相關(guān)聯(lián)。是一組相關(guān)的警報，它們共同形成一個完整的視圖，可以調(diào)查和解決潛在的威脅。您可以使用內(nèi)置的關(guān)聯(lián)規(guī)則，或者以它們?yōu)槠瘘c(diǎn)創(chuàng)建自己的關(guān)聯(lián)規(guī)則。

04 創(chuàng)建自動化警報

自動化常見任務(wù)，并使用可以與Azure服務(wù)和現(xiàn)有工具集成的劇本來簡化安全的業(yè)務(wù)流程。Azure Sentinel的自動化和業(yè)務(wù)流程解決方案建立在Azure邏輯應(yīng)用程序的基礎(chǔ)之上，當(dāng)新技術(shù)和威脅出現(xiàn)時，它可以提供高度可擴(kuò)展的架構(gòu)。

05主動搜索威脅事件

根據(jù)MITRE framework，Azure Sentinel強(qiáng)大的搜索功能和查詢工具可以用來在觸發(fā)警報之前主動搜索一個組織的不同數(shù)據(jù)源中的安全威脅。在發(fā)現(xiàn)哪個搜索查詢可以提供有關(guān)潛在攻擊的建議后，您可以基于該查詢創(chuàng)建自定義檢測規(guī)則或?qū)⑵鋭?chuàng)建為警報。

06 調(diào)查觸發(fā)的危險或警報

點(diǎn)擊首頁觸發(fā)的事件，可以使用深度調(diào)查工具了解潛在安全威脅的范圍，找到事件觸發(fā)的根本原因。您可以在交互圖中選擇一個實(shí)體，提取關(guān)于特定實(shí)體的相關(guān)信息，然后深入到該實(shí)體及其連接，以獲得威脅的根本原因，然后分析一些關(guān)鍵信息，以確定事件中是否存在威脅。(圖例為用戶舉報釣魚郵件事件)。

結(jié)束警報:

當(dāng)特定事件得到解決或您的調(diào)查得出結(jié)論時，您可以將事件的狀態(tài)設(shè)置為“已關(guān)閉”。關(guān)閉事件時，可以通過指定關(guān)閉原因來對事件進(jìn)行分類。單擊分類，并從下拉列表中選擇以下選項(xiàng)之一:

真實(shí)可疑活動

良性可疑，但在意料之中

假報警邏輯不正確。

錯誤不正確的數(shù)據(jù)

未確定的

選擇適當(dāng)?shù)姆诸惡螅梢蕴砑右恍┟枋鲂晕谋尽＿@將有助于對此事件的審查。完成后，單擊“應(yīng)用”,活動將關(guān)閉。

到目前為止，這是一個使用Azure Sentinel從訪問數(shù)據(jù)源到處理觸發(fā)事件或報警的完整過程。

在安全領(lǐng)域，借助Azure Sentinel，Philosoc將為您分析最新的信息安全威脅情報，這些情報是微軟通過分析每天數(shù)萬億的信號而獲得的。

憑借微軟在全球管理安全方面數(shù)十年的經(jīng)驗(yàn)，F(xiàn)lyingnets可以為您的企業(yè)創(chuàng)造一個更加安全的信息環(huán)境。

下圖顯示了Azure Sentinel可以訪問的數(shù)據(jù)源列表:

Azure Sentinel用于分析access數(shù)據(jù)的可視化頁面:[/s2/]
文章推薦
采購國外二手挖掘機(jī)如何進(jìn)口到國內(nèi),啟辰機(jī)械進(jìn)口二手挖掘機(jī)
Audience Network 原生、橫幅和插屏版位 圖片廣告發(fā)布指南,audience數(shù)碼安裝視頻
AWS、Azure、Google云 誰的免費(fèi)層更好,azureiot云服務(wù)器
App Store常見的App拒絕情況,美區(qū)app store有哪些好的app

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。