數(shù)字化轉型和云轉型的浪潮在不斷沖擊著企業(yè)的信息安全應對能力���。同時�,我們發(fā)現(xiàn)�,企業(yè)信息安全僅僅依靠網(wǎng)絡防御是不夠的���,只有采取主動應對風險方法才能滿足企業(yè)信息安全的需求�����。
數(shù)字化轉型和云轉型的浪潮在不斷沖擊著企業(yè)的信息安全應對能力���。
同時����,我們發(fā)現(xiàn)�����,企業(yè)信息安全僅僅依靠網(wǎng)絡防御是不夠的����,只有采取主動應對風險方法才能滿足企業(yè)信息安全的需求。
因此����,企業(yè)需要能夠連接所有系統(tǒng),并且收集系統(tǒng)中的數(shù)據(jù)���,無論這些數(shù)據(jù)是在云上還是在企業(yè)內部����,是商業(yè)數(shù)據(jù)還是系統(tǒng)生成的數(shù)據(jù)���。
傳統(tǒng)的 SIEM方法根本無法跟上變革的步伐�,企業(yè)也沒有更多的資金來解決這個問題。
關于安全日志分析���,F(xiàn)lyingnets不僅可以提供splunk�、elk分析�, 還可以基于sentinel對數(shù)據(jù)進行分析。
因此�����,針對Microsoft用戶����,F(xiàn)lyingnets為企業(yè)提供了基于Azure Sentinel 的全面日志分析安全運維和服務。
Azure Sentinel 是什么��?
它是可縮放的云原生 安全信息事件管理 (SIEM)和 安全業(yè)務流程自動響應 (SOAR) 解決方案���。
Azure Sentinel 在整個企業(yè)范圍內提供智能安全分析和威脅智能告警服務�����,為警報的檢測、威脅可見性�、主動搜尋和威脅響應提供統(tǒng)一解決方案���。
跨用戶、設備����、應用程序和基礎結構(包括本地和多個云),大規(guī)模收集數(shù)據(jù)�����。
使用Microsoft 的分析和出色的威脅情報�����,能檢測以前未檢測到的威脅���,并最大限度地減少誤報�。
借助人工智能調查威脅���,結合Microsoft 多年以來的網(wǎng)絡安全工作經(jīng)驗��,可以大規(guī)模搜尋可疑活動���。
通過內置的業(yè)務流程和常見任務自動化�,能快速響應事件
Flyingnets使用Azure Sentinel進行SOC
服務的流程圖
01 添加數(shù)據(jù)源
Azure Sentinel 隨附許多適用于 Microsoft 解決方案的開箱即用的連接器����,提供實時數(shù)據(jù)。此外���,內置的連接器可以擴展非 Microsoft 解決方案的安全生態(tài)系統(tǒng)���。也可以使用常用事件格式 Syslog 或 REST-API 將數(shù)據(jù)源與 Azure Sentinel 相連接。將數(shù)據(jù)源接入后我們就可以使用Azure Sentinel對接入的安全產(chǎn)品的數(shù)據(jù)進行分析�。
將數(shù)據(jù)源連接到 Azure Sentinel 后,可以使用 Azure Sentinel 與 Azure Monitor 工作簿的集成來監(jiān)視數(shù)據(jù)����,這里為創(chuàng)建自定義工作簿提供了多樣性。Azure Sentinel 可讓您跨數(shù)據(jù)源創(chuàng)建自定義工作簿��,并且還附帶了大量內置的工作簿模板供您使用�����,使您可以在連接數(shù)據(jù)源后快速便捷的獲取到分析結果���。
為了幫助降低干擾并盡量減少需要檢查和調查的警報數(shù)目��,Azure Sentinel 使用分析將警報關聯(lián)到事件�。事件是相關警報的分組�����,它們共同組成了可以調查和解決潛在威脅的完整視圖�。可以使用內置的關聯(lián)規(guī)則��,也可以使用它們作為起點來創(chuàng)建自己的關聯(lián)規(guī)則�。
將常見任務自動化,并使用可與 Azure 服務和現(xiàn)有工具集成的 Playbook 來簡化安全業(yè)務流程����。Azure Sentinel 的自動化和業(yè)務流程解決方案構建在 Azure 邏輯應用的基礎之上,當新的技術和威脅出現(xiàn)時�,它能提供高度可擴展的體系結構。
05 主動搜尋威脅事件
根據(jù) MITRE 框架使用 Azure Sentinel 的強大搜尋功能和查詢工具���,可以在觸發(fā)警報之前��,主動搜尋組織的不同數(shù)據(jù)源中的安全威脅���。當發(fā)現(xiàn)哪個搜索查詢可以提供有關潛在攻擊的建議后����,可以基于該查詢創(chuàng)建自定義檢測規(guī)則���,也可以作為警報創(chuàng)建��。
點擊主頁觸發(fā)的事件��,可以使用深入調查工具了解潛在安全威脅的范圍�,并找到事件觸發(fā)的根本原因�。可以在交互式圖形中選擇一個實體����,以提取有關特定實體的相關信息,然后向下鉆取到該實體及其連接��,以獲取威脅的根本原因����,然后將一些關鍵信息進行結合分析,判斷該事件是否存在威脅�。(圖例為用戶舉報釣魚郵件的事件)�����。
解決了特定事件或者當您的調查有結論時�,您可以將事件的狀態(tài)設置為關閉��。當您關閉事件時���,您可以通過指定關閉它的原因來分類事件。點擊選擇分類并從下拉列表中選擇以下其中一個:
真正 - 可疑活動
良性 - 可疑但符合預期
假正 - 警報邏輯不正確
假正 - 數(shù)據(jù)不正確
未確定
選擇適當?shù)姆诸惡?�,可以添加一些描述性的文本��。這樣會方便對此事件進行回顧�����。當您完成后點擊應用�����,事件將被關閉���。
至此�����,這就是飛絡SOC使用Azure Sentinel從接入數(shù)據(jù)源到處理觸發(fā)事件或警報的一個完整流程�����。
在安全領域����,借助 Azure Sentinel,飛絡SOC將為您分析最新的信息安全威脅情報�,而這些情報是Microsoft通過每天對數(shù)萬億個信號進行分析而獲得的。
借助 Microsoft 數(shù)十年來在全球范圍內管理安全性方面的經(jīng)驗����,F(xiàn)lyingnets 可以為您的企業(yè)打造更安全的信息環(huán)境。
下圖是Azure Sentinel可以接入數(shù)據(jù)源的清單:
Azure Sentinel對接入數(shù)據(jù)分析可視化頁面:
立即登錄���,閱讀全文
版權說明:
本文內容來自于Microsoft云科技�����,本站不擁有所有權��,不承擔相關法律責任�。文章內容系作者個人觀點,不代表快出海對觀點贊同或支持�。如有侵權,請聯(lián)系管理員(zzx@kchuhai.com)刪除�!
閩公網(wǎng)安備 35010202001226號
