SOC Prime-Integration mit Microsoft Azure Sentinel, Neue Funktionen

Das gesamte SOC Prime-Team arbeitet derzeit remote (wir hoffen, Sie tun dasselbe), aber solche Bedingungen haben unsere Effektivität und das Streben zur Verbesserung nicht beeinträchtigt Threat Detection Marketplace (TDM)-Plattform.

In diesem Blog freuen wir uns, die 4 neuen TDM-Funktionen von SOC Prime ankündigen zu können, die dank unserer Drittanbieter-Integration mit Microsoft Azure Sentinel entstanden sind, die darauf abzielt, Unternehmen dabei zu helfen, ihr Sicherheitsbewusstsein zu erhalten und die Implementierungszeit zu verkürzen.

Beginnen wir mit der ersten Funktion, die für die Integration mit der Sigma-Integration mit Azure Sentinel steht.

Sigma-Integration mit Azure Sentinel

Uncoder.io, ein kostenloser Dienst von SOC Prime und eine gemeinsame Sprache für Cybersecurity, wird uns auf die offensichtlichste Weise helfen, indem wir die Sigma-Sprache verwenden. Mit einer einfachen, schnellen und privaten Benutzeroberfläche können Sie die Abfragen von einem Tool in ein anderes übersetzen, ohne darauf zugreifen zu müssen SIEM-Umgebung und in nur wenigen Sekunden.

Das können wir jetzt ganz einfach tun, um Sigma-Regeln in funktionale Azure Sentinel-Abfragen & Regeln umzuwandeln.Einfach? Wir sind uns ziemlich sicher, dass es eine nette Funktion ist, die Ihnen definitiv Zeit spart. Probieren Sie es einfach über Uncoder.io von SOC Prime aus und lassen Sie uns wissen, was Sie denken 🙂

Der zweite Aspekt, auf den wir uns konzentriert haben, ist die automatisierte Methode zur Optimierung von Regeln über die Azure Sentinel-API.

Die Mehrmandanten-Hook zwischen TDM und Azure Sentinel API ist jetzt auf dem TDM verfügbar.

Sie können jetzt in der Konfiguration „Microsoft Azure Sentinel API“ (verfügbar im TDM-Profilmenü) hinzufügen.Wählen Sie bei der Bereitstellung von Regeln genau aus, wo Sie sie bereitstellen möchten. Es gibt eine Reihe von Parametern, die für die Microsoft Azure Sentinel API-Konfiguration konfiguriert werden müssen:

1. Client-ID,
2. Client-Secret,
3. Mandanten-ID,
4. Abonnement-ID,
5. Ressourcengruppe,
6. Sentinel-Arbeitsbereich

Beispiel:

Ausführliche Anweisungen zum Einrichten der Azure Sentinel API-App finden Sie im Abschnitt „How to Get Credentials“, drücken Sie die (i)-Taste.

Um einen weiteren Azure Sentinel Mandanten hinzuzufügen, drücken Sie die ‚API Configuration‘-Taste. Sie können eine neue Konfiguration hinzufügen, bestehende Konfigurationen bearbeiten oder löschen. Zum Beispiel eine Test- und Produktionsumgebung.

SOC Prime TDM-Integration mit Azure Sentinel Hunting Suchabfragen

Jetzt können Sie in Ihrem TDM-Konto einfach die Schaltfläche „In Mein Sentinel bereitstellen“ verwenden, um Abfragen in Azure Sentinel bereitzustellen.

Diese Schaltfläche importiert die Abfrage auf die gespeicherte Suchseite im Sentinel. Vor der Bereitstellung können Sie die Abfrage manuell bearbeiten.Neue Jagd-Abfragen finden Sie unter dem Filter ANBIETER: Benutzerdefinierte Abfragen.

SOC Prime TDM-Integration mit Azure Sentinel Analytics (Regeln)

Es gibt auch eine Schaltfläche „In Mein Sentinel bereitstellen“ in Ihrem TDM-Konto, um Regeln in Azure Sentinel Analytics bereitzustellen. Diese Schaltfläche importiert die Regel auf die Analytics Seite im Sentinel. Vor der Bereitstellung können Sie die Regelparameter manuell bearbeiten.Neue bereitgestellte Regeln können unter den bestehenden Regeln in Sentinel Analytics gefunden werden, wenn das Feld LETZTE ÄNDERUNG sortiert wird.Falls es eine Diskrepanz bei der Feldzuordnung gibt, können Sie Ihre eigene erstellen Sigma-Feldzuordnung. Gehen Sie zu Profil -> ‚Sigma Field Mapping‘ -> scrollen Sie zu Azure Sentinel-Regel oder -Abfrage und fügen Sie dort Ihre benutzerdefinierten Feldzuordnungen hinzu:Danke fürs Lesen 🙂Bleiben Sie sicher!

Ihr SOC Prime-Team