Azure Sentinel 日志分析SOC运维,azurewave technology inc-ESG跨境

Azure Sentinel 日志分析SOC运维,azurewave technology inc

2022-05-31

818

Azure Sentinel 日志分析SOC运维,azurewave technology incAzure Sentinel 日志分析SOC运维数字化转型和云转型的浪潮在不断冲击着企业的信息安全应对能力。同时，我们发现，企业信息安全仅仅依靠网络防御是不够的，只有采取主动应对风险方法才能满足企业信息安全的需求。因此，企......

Azure Sentinel 日志分析SOC运维,azurewave technology inc

Azure Sentinel 日志分析SOC运维

数字化转型和云转型的浪潮在不断冲击着企业的信息安全应对能力。

同时，我们发现，企业信息安全仅仅依靠网络防御是不够的，只有采取主动应对风险方法才能满足企业信息安全的需求。

因此，企业需要能够连接所有系统，并且收集系统中的数据，无论这些数据是在云上还是在企业内部，是商业数据还是系统生成的数据。

传统的 SIEM方法根本无法跟上变革的步伐，企业也没有更多的资金来解决这个问题。

关于安全日志分析，Flyingnets不仅可以提供splunk、elk分析，还可以基于sentinel对数据进行分析。

因此，针对Microsoft用户，Flyingnets为企业提供了基于Azure Sentinel 的全面日志分析安全运维和服务。

Azure Sentinel 是什么？

它是可缩放的云原生安全信息事件管理 (SIEM)和安全业务流程自动响应 (SOAR)解决方案。

Azure Sentinel 在整个企业范围内提供智能安全分析和威胁智能告警服务，为警报的检测、威胁可见性、主动搜寻和威胁响应提供统一解决方案。

跨用户、设备、应用程序和基础结构（包括本地和多个云），大规模收集数据。

使用Microsoft 的分析和出色的威胁情报，能检测以前未检测到的威胁，并最大限度地减少误报。

借助人工智能调查威胁，结合Microsoft 多年以来的网络安全工作经验，可以大规模搜寻可疑活动。

通过内置的业务流程和常见任务自动化，能快速响应事件

Flyingnets使用Azure Sentinel进行SOC

服务的流程图

01 添加数据源

Azure Sentinel 随附许多适用于 Microsoft 解决方案的开箱即用的连接器，提供实时数据。此外，内置的连接器可以扩展非 Microsoft 解决方案的安全生态系统。也可以使用常用事件格式 Syslog 或 RESTAPI 将数据源与 Azure Sentinel 相连接。将数据源接入后我们就可以使用Azure Sentinel对接入的安全产品的数据进行分析。

02 创建工作簿

将数据源连接到 Azure Sentinel 后，可以使用 Azure Sentinel 与 Azure Monitor 工作簿的集成来监视数据，这里为创建自定义工作簿提供了多样性。Azure Sentinel 可让您跨数据源创建自定义工作簿，并且还附带了大量内置的工作簿模板供您使用，使您可以在连接数据源后快速便捷的获取到分析结果。

03 创建事件

为了帮助降低干扰并尽量减少需要检查和调查的警报数目，Azure Sentinel 使用分析将警报关联到事件。事件是相关警报的分组，它们共同组成了可以调查和解决潜在威胁的完整视图。可以使用内置的关联规则，也可以使用它们作为起点来创建自己的关联规则。

04 创建自动化警报

将常见任务自动化，并使用可与 Azure 服务和现有工具集成的 Playbook 来简化安全业务流程。Azure Sentinel 的自动化和业务流程解决方案构建在 Azure 逻辑应用的基础之上，当新的技术和威胁出现时，它能提供高度可扩展的体系结构。

05 主动搜寻威胁事件

根据 MITRE 框架使用 Azure Sentinel 的强大搜寻功能和查询工具，可以在触发警报之前，主动搜寻组织的不同数据源中的安全威胁。当发现哪个搜索查询可以提供有关潜在攻击的建议后，可以基于该查询创建自定义检测规则，也可以作为警报创建。

06 调查触发的危险或警报

点击主页触发的事件，可以使用深入调查工具了解潜在安全威胁的范围，并找到事件触发的根本原因。可以在交互式图形中选择一个实体，以提取有关特定实体的相关信息，然后向下钻取到该实体及其连接，以获取威胁的根本原因，然后将一些关键信息进行结合分析，判断该事件是否存在威胁。（图例为用户举报钓鱼邮件的事件）。

结束警报:

解决了特定事件或者当您的调查有结论时，您可以将事件的状态设置为关闭。当您关闭事件时，您可以通过指定关闭它的原因来分类事件。点击选择分类并从下拉列表中选择以下其中一个：

真正可疑活动

良性可疑但符合预期

假正警报逻辑不正确

假正数据不正确

未确定

选择适当的分类后，可以添加一些描述性的文本。这样会方便对此事件进行回顾。当您完成后点击应用，事件将被关闭。

至此，这就是飞络SOC使用Azure Sentinel从接入数据源到处理触发事件或警报的一个完整流程。

在安全领域，借助 Azure Sentinel，飞络SOC将为您分析最新的信息安全威胁情报，而这些情报是Microsoft通过每天对数万亿个信号进行分析而获得的。

借助 Microsoft 数十年来在全球范围内管理安全性方面的经验，Flyingnets 可以为您的企业打造更安全的信息环境。

下图是Azure Sentinel可以接入数据源的清单:

Azure Sentinel对接入数据分析可视化页面：

文章推荐
ASO与SEO的相通性思考,aso该优化哪些关键词
APUS使用 Adjust Automate 扩大 Facebook 推广活动规模并提升ROAS
Azure Blob配置自定义域（HTTPS）,azure blob 性能
Gameloft通过Google Play Asset Delivery获得了10％的新用户,gameloft官方app

特别声明：以上文章内容仅代表作者本人观点，不代表ESG跨境电商观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与ESG跨境电商联系。