Integração da SOC Prime com Microsoft Azure Sentinel, Novas Funcionalidades
Índice:
Toda a equipe da SOC Prime está atualmente trabalhando remotamente (esperamos que você faça o mesmo), mas tais condições não influenciaram nossa eficácia e desejo de melhorar plataforma Threat Detection Marketplace (TDM).
Neste blog, estamos empolgados em anunciar 4 novos recursos do TDM da SOC Prime que chegam graças à nossa integração de terceiros com o Microsoft Azure Sentinel, que visa ajudar as empresas a manter sua conscientização de segurança e a reduzir o tempo de implementação.
Vamos começar com o primeiro recurso que representa a Integração com a integração sigma com o Azure Sentinel.
Integração Sigma com o Azure Sentinel
Uncoder.io, um serviço gratuito da SOC Prime e uma linguagem comum para Cibersegurança nos ajudará a gerenciar isso da maneira mais óbvia usando a linguagem Sigma. Com uma interface de usuário fácil, rápida e privada, você pode traduzir as consultas de uma ferramenta para outra sem a necessidade de acessar o ambiente SIEM e em questão de apenas alguns segundos.
É o que podemos fazer agora para converter regras Sigma em consultas e regras funcionais do Azure Sentinel.
Fácil? Temos certeza de que é uma característica legal que definitivamente economizará algum tempo. Basta experimentar via Uncoder.io pela SOC Prime e nos deixe saber o que você acha 🙂
A segunda coisa em que nos concentramos é o método automatizado de simplificar regras via API do Azure Sentinel.
O gancho multi-inquilino entre TDM e API do Azure Sentinel já está disponível no TDM.
Agora você pode adicionar na configuração “API do Microsoft Azure Sentinel” (disponível no menu de perfil do seu TDM).
Ao implantar regras, escolha exatamente onde deseja implantá-las. Há um conjunto de parâmetros que precisam ser configurados para a Configuração da API do Microsoft Azure Sentinel:
- ID do Cliente,
- Segredo do Cliente,
- ID do Inquilino,
- ID da Assinatura,
- Grupo de Recursos,
- Workspace do Sentinel
Exemplo:
Instruções detalhadas sobre como configurar o aplicativo API do Azure Sentinel estão na seção ‘Como Obter Credenciais’, pressione o botão (i).
Para adicionar outro inquilino do Azure Sentinel, pressione o botão ‘Configuração da API’. Você pode adicionar nova configuração, editar ou excluir configuração existente. Por exemplo, um ambiente de teste e produção.
Integração SOC Prime TDM com Consultas de Busca do Azure Sentinel
Agora você pode simplesmente usar o botão “Implantar no Meu Sentinel” na sua conta TDM para implantar consultas no Azure Sentinel.
Este botão importa a consulta para a página de busca salva no Sentinel. Antes de implantar, você pode editar a consulta manualmente.
Novas consultas de busca podem ser encontradas no filtro PROVEDOR: Consultas Personalizadas.
Integração SOC Prime TDM com Análise do Azure Sentinel (Regras)
Além disso, há um botão “Implantar no Meu Sentinel” na sua conta TDM para implantar regras no Azure Sentinel Analytics. Este botão importa a regra para a página de Análises no Sentinel. Antes de implantar, você pode editar os parâmetros da regra manualmente.
A nova regra implantada pode ser encontrada entre as regras existentes no Sentinel Analytics ao classificar o campo ÚLTIMA MODIFICAÇÃO.
Caso você tenha alguma incompatibilidade na mapeamento de campos, você pode criar seu próprio Mapeamento de Campos Sigma. Vá para Perfil -> ‘Mapeamento de Campos Sigma’ -> role para Regra ou Consulta do Azure Sentinel e adicione seus mapeamentos de campo personalizados:
Obrigado por ler 🙂Fique Seguro!
Sua Equipe SOC Prime
