Правила обнаружения для NSG, KeyVaults, шлюза приложений, SQL Server
Я настроил следующую диагностику и отправил ее в рабочую область анализа журнала (sentinel):
- Группы безопасности сети
- Сетевая безопасность Групповой трафик Аналитика
- KeyVaults
- Шлюзы приложений
- Журналы активности
Я знаю, что нужно подумать о правилах обнаружения, таких как заблокированный входящий трафик с одного и того же ip 10 раз и т. Д., А затем перевести затем на KQL.
Пожалуйста, кто-нибудь может мне помочь с этими правилами обнаружения, а также с тем, как генерировать эти предупреждения, чтобы мы могли проверить правила обнаружения, созданные в KQL. Буду очень признателен за любые советы.
С уважением, Келли Гарсия