Microsoft heeft onlangs twee monitoring tools voor analytics in zijn cloudgebaseerde securitydienst Microsoft Sentinel geïntroduceerd. Deze zogenoemde SentinelHealth- en SentinelAudit-functionaliteit is nu in public preview.
De techgigant wil securityspecialisten beter gaan helpen met het tijdig reageren op potentiële bedreigingen. Hiervoor introduceert Microsoft een aantal monitorings tools voor de analytics rules voor zijn cloudgebaseerde securitytool Microsoft Sentinel. Deze tools moeten inzicht geven in de gezondheid en de status van deze specifieke rules en over de achtergrond van veranderingen aan deze rules.
Correct functioneren analytics rules
Op deze manier kunnen securityspecialisten, vooral die specialisten die in SOCs werken, er zeker van zijn dat de analytics rules in Sentinel correct functioneren en relevante informatie geven waarop zij actie kunnen ondernemen, geeft een Microsoft-specialist aan tegenover The Register.
Daarnaast kunnen deze medewerkers met de nu geïntroduceerde tools op de hoogte zijn van geplande en ongeplande veranderingen aan deze rules voor compliance-redenen en de meer effectieve beveiliging tegen mogelijke aanvallen.
SentinelHealth-en SentinelAudit-functionaliteit
De SentinalHealth-functionaliteit houdt hiervoor de gezondheid van de analytics rules in de gaten. Hiermee wordt gezorgd dat deze als verwacht functioneren. Hiervoor wordt data verzameld doe deze rules draaien, of zij niet functioneren en waarom en de tool verzamelt events door zoekvragen. Alle gegevens uit deze logs worden in Log Analytics in het SentinelHealth-tabel samengevoegd.
De SentinelAudit-functionaliteit die nu aan Microsoft Sentinel is toegevoegd, moet vooral niet-geautoriseerde veranderingen van de rules detecteren. Dit om te voorkomen dat zij de security beïnvloeden en om in de gaten te houden wie deze veranderingen doorvoert.
Verder registreert de functionaliteit welke rule is veranderd, wat de instellingen voor en na de verandering waren en zijn, het IP-adres van de bron en het moment waarop de verandering werd doorgevoerd. Al deze gegevens worden bijeengebracht in het SentinelAudit-tabel van Log Analytics.
Beide functionaliteiten zijn nu in public preview.
Lees ook: Microsoft Defender for Endpoint isoleert vanaf nu ook Linux-devices
2 uur geleden
