SIEM

תוכן זה כל הקסם Microsoft Sentinel

אחד העקרונות החשובים ביומיום של SIEM (או ליתר דיוק אנשים, תהליכים וטכנולוגיות) הוא ללא ספק תכנים, וככל שיהיו יותר תכנים, כך תמונת האבטחה תהיה רחבה יותר, מעמיקה יותר וכמובן ממוקדת. יצירת תוכן טומנת בחובה עולם ומלואו של הבנה, זיהוי וניטור… להמשיך לקרוא ‹

ניהול עלויות בתשתית Azure Sentinel (טיפים + KQL)

ההבדל בין יישום מוצלח בענן לבין יישום כושל בענן הוא עלויות, ולכן רגע לפני שמיישמים פתרון בענן טוב ככל שיהיה חייבים לתכנן את העלויות, והדבר נכון גם לתכנון פתרון SIEM בענן מבוסס Azure Sentinel. המאמר הנוכחי מתמקד במספר טיפים לניהול… להמשיך לקרוא ‹

רשימות מעקב ונתונים Azure Sentinel

בתחקור אירוע כל פריט מידע הוא חשוב ולכן הנתונים שמוזרמים אל Azure Sentinel הם בעלי ערך, החל מהנתונים שמוזרמים באופן אוטומטי ועד נתונים שמוזרמים או מוזנים באופן ידני. ישנם תרחישים שונים בהם אנו צריכים להזרים נתונים או סוגי נתונים בצורה… להמשיך לקרוא ‹

הגדרת AWS CloudTrail מול Azure Sentinel

חיבור מקורות מידע אל Azure Sentinel יכולים להיעשות על סמך סוגי קונקטורים שונים המבוססים על שיטות חיבור כדוגמת Service to Service או חיבור חיצוני על גבי API או Agent. הקונקטורים שמבוססים על Service to service הם קונקטורים מבוססי API שמאפשרים לבצע חיבור פשוט תוך דקות ספורות.

הקמה והגדרת Azure Sentinel

הקמה של שירות Azure Sentinel היא אירוע לכל דבר בארגון כמו בכל הקמת שירות SIEM ארגוני, אך בניגוד למערכות SIEM אחרות הקמת Azure Sentinel מביאה בשורה חדשה בכל התהליך של ניהול SIEM ארגוני החל מהטכנולוגיה, דרך התהליכים וחשוב מכל האנשים שמתחזקים את הטכנולוגיה.

הזרמת Security Event לשירות Azure Sentinel

העברת מידע וחיבור Security event אל Azure Sentinel הינה פעולה פשוטה ואינה מצריכה יישום מורכב, ולאחר חיבור והגדרה של Data Connectors ובחירת סוגי הלוגים כל שנדרש לבצע הוא לנתח את הפעולות מתוך ממשק Azure Sentinel באמצעות הממשק הרגיל או באמצעות KQL

הפעלת PowerShell Module Logging

הפעלת PowerShell Module Logging היא פעולה פשוטה אך בארגון של אלפי משתמשים מצריכה תכנון, במיוחד בארגונים בהם עובדים עם מערכות UBA\UEBA\SIEM וזאת בשביל להרחיב ולנצל את כלל האפשרויות של הפעלת לוגים סביב PowerShell ובכדי לזהות פעולות חשודות ולבצע Intrustion Detection טוב יותר.

Azure Sentinel וניהול SIEM ארגוני

לאחרונה השיקה Microsoft את Azure Sentinel שהוא למעשה מערכת SIEM מבוססת ענן (Native SIEM) המשלב יכולות מוכרות של SIEM קלאסי לצד יכולות מתקדמות המשלבות מענה ותגובה אוטומטי לפי תרחישים שונים. על SIEM, SOC וכאלה מערכות SIEM, תפיסת SOC ארגונית, צוות… להמשיך לקרוא ‹

error: Content is protected !!