Integración de SOC Prime con Microsoft Azure Sentinel, Nuevas Funcionalidades
Tabla de contenidos:
Todo el equipo de SOC Prime está trabajando actualmente de forma remota (esperamos que tú también lo hagas), pero tales condiciones no han influido en nuestra efectividad y esfuerzo por mejorar Plataforma Threat Detection Marketplace (TDM).
En este blog estamos emocionados de anunciar las 4 nuevas funciones de TDM de SOC Prime que llegan gracias a nuestra integración con Microsoft Azure Sentinel, que tiene como objetivo ayudar a las empresas a ahorrar en concienciación sobre seguridad y reducir el tiempo de implementación.
Comencemos con la primera característica que representa la integración de Sigma con Azure Sentinel.
Integración de Sigma con Azure Sentinel
Uncoder.io, un servicio gratuito de SOC Prime y un lenguaje común para la ciberseguridad nos ayudará a gestionar esto de la manera más evidente utilizando el lenguaje Sigma. Con una interfaz fácil, rápida y privada puedes traducir las consultas de una herramienta a otra sin necesidad de acceder al entorno SIEM y en tan solo unos segundos.
Eso es lo que ahora podemos hacer fácilmente para convertir las reglas de Sigma en consultas y reglas funcionales de Azure Sentinel.
¿Fácil? Estamos bastante seguros de que es una buena característica que definitivamente te ahorrará algo de tiempo. Simplemente pruébalo a través de Uncoder.io por SOC Prime y cuéntanos qué piensas 🙂
Lo segundo en lo que nos hemos enfocado es en el método automatizado para optimizar las reglas a través del API de Azure Sentinel.
La conexión multi-tenant entre TDM y el API de Azure Sentinel ya está disponible en el TDM.
Ahora puedes agregar en la configuración de “Microsoft Azure Sentinel API” (disponible en el menú de tu perfil TDM).
Al implementar reglas elige exactamente dónde quieres implementarlas. Hay un conjunto de parámetros que deben configurarse para la Configuración del API de Microsoft Azure Sentinel:
- ID de Cliente,
- Secreto de Cliente,
- ID de Inquilino,
- ID de Suscripción,
- Grupo de Recursos,
- Espacio de Trabajo de Sentinel
Ejemplo:
Instrucciones detalladas sobre cómo configurar la aplicación de API de Azure Sentinel están en la sección ‘Cómo Obtener Credenciales”, presiona el botón (i).
Para agregar otro inquilino de Azure Sentinel presiona el botón ‘API Configuration’. Puedes agregar una nueva configuración, editar o eliminar la configuración existente. Por ejemplo, un entorno de prueba y producción.
Integración TDM de SOC Prime con consultas de búsqueda en Azure Sentinel
Ahora puedes simplemente usar el botón “Deploy In My Sentinel” en tu cuenta TDM para implementar consultas en el Azure Sentinel.
Este botón importa la consulta a la página de búsqueda guardada Hunting en el Sentinel. Antes de implementarlo puedes editar la consulta manualmente.
Las nuevas consultas Hunting se pueden encontrar bajo el filtro PROVEEDOR: Consultas Personalizadas.
Integración TDM de SOC Prime con Azure Sentinel Analytics (Rules)
También hay un botón “Deploy In My Sentinel” en tu cuenta TDM para implementar reglas en el Azure Sentinel Analytics. Este botón importa la regla a la página de Analytics en el Sentinel. Antes de implementarla puedes editar los parámetros de la regla manualmente.
La nueva regla implementada se puede encontrar entre las reglas existentes en Sentinel Analytics al ordenar el campo ÚLTIMA MODIFICACIÓN.
En caso de que tengas alguna discrepancia para el mapeo de campos, puedes crear tu propio Mapeo de Campos Sigma. Ve a Perfil -> ‘Mapeo de Campos Sigma’ -> desplázate a la Regla o Consulta de Azure Sentinel y agrega allí tus mapeos de campos personalizados:
Gracias por leer 🙂¡Mantente Seguro!
Tu equipo de SOC Prime
