SOC PrimeとMicrosoft Azure Sentinelの統合、新機能の紹介

SOC Primeチーム全員は現在リモートで働いています（皆さんも同じことをしていることを願っています）が、このような状況でも我々の効率性と改善への努力には影響していません。 Threat Detection Marketplace (TDM)プラットフォーム.

このブログでは、Microsoft Azure Sentinelとの3者統合により実現されたSOC Primeの4つの新しいTDM機能を発表できることに心躍らせています。、これによってビジネスはセキュリティ意識を保ち、導入時間を短縮することができます。

まず最初の機能はAzure SentinelとのSigma統合です。

Azure SentinelとのSigma統合

Uncoder.io、無料のSOC Primeのサービスであり、サイバーセキュリティの共通言語であるSigma言語を用いて、最もわかりやすい方法でこれを管理できます。簡単で迅速なプライベートUIにより、SIEM環境にアクセスすることなく、わずか数秒でツールからツールへのクエリを変換できます。

これにより、Sigmaルールを機能的なAzure Sentinelクエリ＆ルールに簡単に変換できます。簡単でしょうか？これが時間を節約してくれる絶妙な機能であることを確信しています。ぜひ試してみてください。 Uncoder.io SOC Primeからのもので、ぜひご感想をお聞かせください 🙂

次に注力したのは、Azure Sentinel APIを介したルール簡素化の自動化方法です。

現在、TDMとAzure Sentinel APIの間のマルチテナンシーフックがTDMで利用可能です。

今すぐ「Microsoft Azure Sentinel API」設定をTDMプロファイルメニューで追加できます。ルールを展開する際は、どこに展開するかを正確に選択してください。Microsoft Azure Sentinel API設定では設定する必要があるパラメータのセットがあります：

1. クライアントID、
2. クライアントシークレット、
3. テナントID、
4. サブスクリプションID、
5. リソースグループ、
6. センチネルワークスペース

例:

Azure Sentinel APIアプリケーションのセットアップ方法に関する詳細な指示は、「認証情報の取得方法」セクションにあります。(i)ボタンを押してください。

別のAzure Sentinelテナントを追加するには、「API設定」ボタンを押します。新しい設定を追加したり、既存の設定を編集または削除できます。たとえば、テスト環境や本番環境です。

SOC Prime TDMとAzure Sentinelのハンティング検索クエリの統合

今すぐ「My Sentinelにデプロイ」ボタンをTDMアカウントで使用して、Azure Sentinelにクエリを展開できます。

このボタンは、クエリをセンチネルの保存された検索ページにインポートします。デプロイする前にクエリを手動で編集できます。新しいハンティングクエリは、フィルターPROVIDER: Custom Queriesの下に表示されます。

SOC Prime TDMとAzure Sentinel Analytics（ルール）との統合

また、TDMアカウントには「My Sentinelにデプロイ」ボタンがあり、Azure Sentinel Analyticsにルールを展開できます。このボタンは、ルールを Analytics ページにインポートします。デプロイする前にルールパラメータを手動で編集できます。新しくデプロイされたルールは、センチネルアナリティクス内の既存のルールとともに、LAST MODIFIEDフィールドをソートすることで見つけることができます。フィールドマッピングに不一致がある場合は、独自の Sigmaフィールドマッピングを作成できます。プロファイルに移動し、「Sigmaフィールドマッピング」を選択して、Azure Sentinelルールまたはクエリをスクロールしてカスタムフィールドマッピングを追加してください。お読みいただきありがとうございました 🙂安全でいてください！

SOC Primeチームより