Azure Sentinel 日志分析SOC運維,azurewave technology inc

Azure Sentinel 日志分析SOC運維

數字化轉型和云轉型的浪潮在不斷沖擊著企業的信息安全應對能力。

同時，我們發現，企業信息安全僅僅依靠網絡防御是不夠的，只有采取主動應對風險方法才能滿足企業信息安全的需求。

因此，企業需要能夠連接所有系統，并且收集系統中的數據，無論這些數據是在云上還是在企業內部，是商業數據還是系統生成的數據。

傳統的 SIEM方法根本無法跟上變革的步伐，企業也沒有更多的資金來解決這個問題。

關于安全日志分析，Flyingnets不僅可以提供splunk、elk分析， 還可以基于sentinel對數據進行分析。

因此，針對Microsoft用戶，Flyingnets為企業提供了基于Azure Sentinel 的全面日志分析安全運維和服務。

Azure Sentinel 是什么？

它是可縮放的云原生安全信息事件管理 (SIEM)和安全業務流程自動響應 (SOAR)解決方案。

Azure Sentinel 在整個企業范圍內提供智能安全分析和威脅智能告警服務，為警報的檢測、威脅可見性、主動搜尋和威脅響應提供統一解決方案。

跨用戶、設備、應用程序和基礎結構（包括本地和多個云），大規模收集數據。

使用Microsoft 的分析和出色的威脅情報，能檢測以前未檢測到的威脅，并最大限度地減少誤報。

借助人工智能調查威脅，結合Microsoft 多年以來的網絡安全工作經驗，可以大規模搜尋可疑活動。

通過內置的業務流程和常見任務自動化，能快速響應事件

Flyingnets使用Azure Sentinel進行SOC

服務的流程圖

01 添加數據源

Azure Sentinel 隨附許多適用于 Microsoft 解決方案的開箱即用的連接器，提供實時數據。此外，內置的連接器可以擴展非 Microsoft 解決方案的安全生態系統。也可以使用常用事件格式 Syslog 或 RESTAPI 將數據源與 Azure Sentinel 相連接。將數據源接入后我們就可以使用Azure Sentinel對接入的安全產品的數據進行分析。

將數據源連接到 Azure Sentinel 后，可以使用 Azure Sentinel 與 Azure Monitor 工作簿的集成來監視數據，這里為創建自定義工作簿提供了多樣性。Azure Sentinel 可讓您跨數據源創建自定義工作簿，并且還附帶了大量內置的工作簿模板供您使用，使您可以在連接數據源后快速便捷的獲取到分析結果。

為了幫助降低干擾并盡量減少需要檢查和調查的警報數目，Azure Sentinel 使用分析將警報關聯到事件。事件是相關警報的分組，它們共同組成了可以調查和解決潛在威脅的完整視圖。可以使用內置的關聯規則，也可以使用它們作為起點來創建自己的關聯規則。

將常見任務自動化，并使用可與 Azure 服務和現有工具集成的 Playbook 來簡化安全業務流程。Azure Sentinel 的自動化和業務流程解決方案構建在 Azure 邏輯應用的基礎之上，當新的技術和威脅出現時，它能提供高度可擴展的體系結構。

05 主動搜尋威脅事件

根據 MITRE 框架使用 Azure Sentinel 的強大搜尋功能和查詢工具，可以在觸發警報之前，主動搜尋組織的不同數據源中的安全威脅。當發現哪個搜索查詢可以提供有關潛在攻擊的建議后，可以基于該查詢創建自定義檢測規則，也可以作為警報創建。

點擊主頁觸發的事件，可以使用深入調查工具了解潛在安全威脅的范圍，并找到事件觸發的根本原因?？梢栽诮换ナ綀D形中選擇一個實體，以提取有關特定實體的相關信息，然后向下鉆取到該實體及其連接，以獲取威脅的根本原因，然后將一些關鍵信息進行結合分析，判斷該事件是否存在威脅。（圖例為用戶舉報釣魚郵件的事件）。

解決了特定事件或者當您的調查有結論時，您可以將事件的狀態設置為關閉。當您關閉事件時，您可以通過指定關閉它的原因來分類事件。點擊選擇分類并從下拉列表中選擇以下其中一個：

真正 可疑活動

良性 可疑但符合預期

假正 警報邏輯不正確

假正 數據不正確

未確定

選擇適當的分類后，可以添加一些描述性的文本。這樣會方便對此事件進行回顧。當您完成后點擊應用，事件將被關閉。

至此，這就是飛絡SOC使用Azure Sentinel從接入數據源到處理觸發事件或警報的一個完整流程。

在安全領域，借助 Azure Sentinel，飛絡SOC將為您分析最新的信息安全威脅情報，而這些情報是Microsoft通過每天對數萬億個信號進行分析而獲得的。

借助 Microsoft 數十年來在全球范圍內管理安全性方面的經驗，Flyingnets 可以為您的企業打造更安全的信息環境。

下圖是Azure Sentinel可以接入數據源的清單:

Azure Sentinel對接入數據分析可視化頁面：

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。