刚刚获得了一个新职位,我将负责在安全方面进行一些系统集成和自动化。我从来没有做过任何集成或自动化,所以这是我的第一个牛仔竞技表演。我可以使用以下工具:
我得到了一份需要完成的行动项目清单。他们中的许多人需要在事件发生后立即做出响应,这就是我迷失的地方。例如,假设 Zscaler 检测到 IA 感染,我们希望一旦检测到 X 和 X 动作就会发生。如何确保我们的系统在事件发生后立即收到警报?我猜这是查询 API 的问题,但是使用我拥有的工具进行设置的正确方法是什么?
通常,您会将这些安全工具的日志发送到 Log Analytics,并可以基于它们构建 KQL 查询。
例如,在拥有 McAfee EPO 的自定义日志源之后,您可以创建重复查询,例如
麦咖啡EPO | 其中 EventType = ThreatEventLog | 扩展 HostCustomEntity = hostname_s,AccountCustomEntity = username_s,IPCustomEntity = ipv4_s
我以https://github.com/Azure/Azure-Sentinel/blob/master/Detections/EsetSMC/eset-threats.yaml为例,您也可以检查其他人。