Описание тега azure-sentinel
Microsoft Azure Sentinel - это проприетарное облачное программное обеспечение SIEM (Security Information and Event Management), которое обеспечивает аналитику безопасности для корпоративного приложения.
1
ответ
Azure Sentinel - отсутствует журнал Office 365
Я оцениваю предварительный просмотр Azure Sentinel. Я подключил подписку на Office 365 (для которой я являюсь администратором) и протестировал несколько входов в систему. Независимо от того, что я делаю, я не вижу никаких журналов регистрации почтов…
22 май '19 в 03:17
1
ответ
Требования к автоматизации RBAC для Центра безопасности / Playbooks Sentinel
В настоящее время я нахожусь в процессе настройки Sentinel POC, в Sentinel у вас есть Playbooks, которые в основном являются приложениями логики, они такие же, как Playbooks в центре безопасности. Мне нужно знать, какие разрешения мне нужны для целе…
17 июл '19 в 12:05
1
ответ
Azure Sentinel RBAC - Лучшая практика
Мы находимся в процессе внедрения Sentinel несколькими источниками данных, каков наилучший способ сделать RBAC?
02 июл '19 в 13:43
0
ответов
Правила обнаружения для NSG, KeyVaults, шлюза приложений, SQL Server
Я настроил следующую диагностику и отправил ее в рабочую область анализа журнала (sentinel): Группы безопасности сети Сетевая безопасность Групповой трафик Аналитика KeyVaults Шлюзы приложений Журналы активности Я знаю, что нужно подумать о правилах…
07 авг '19 в 11:49
1
ответ
Создание запроса на слияние в репозитории часового Azure
Для внесения вклада в репозиторий github, т. Е. Создания PR в репозитории часового Azure: https://github.com/Azure/Azure-Sentinel, необходимо ли становиться партнером Microsoft, или я могу внести свой вклад напрямую, не делая этого?
13 фев '20 в 12:39
2
ответа
Сохранить переменную в приложении azure logic для использования при следующем запуске
Я получаю данные из API, но я хочу получить данные с последнего раза, когда приложение запускало логику, до текущего времени (для уменьшения избыточности). Итак, где я могу сохранить последнюю дату и время, чтобы использовать его в API. API предоста…
13 фев '20 в 08:14
1
ответ
API безопасности Microsoft Graph - проблема с https://graph.microsoft.com/beta/security/tiIndicators
Я пытаюсь использовать API индикаторов угроз Microsoft Graph API на основе рекомендованного службой Azure способа интеграции источников аналитики угроз для передачи IOC в экземпляр Sentinel. Я выполняю следующие шаги в linux curl, чтобы проверить фу…
20 дек '19 в 05:29
1
ответ
Изменение анализа журналов CEF, собранных с помощью агента OMS
Я выполнил https://docs.microsoft.com/en-us/azure/sentinel/connect-common-event-format документацию, чтобы получить журналы в рабочей области Azure Sentinel. В моем случае у меня есть поле с именем FlexNumber, если значение этого поля является целым…
02 мар '20 в 12:17
2
ответа
В книге Azure Sentinel отображаются старые данные из-за кэширования
Я создал KQL и с его помощью построил представление плитки в книге. Данные в плитке должны изменяться в зависимости от добавленного мною фильтра временного диапазона. Это работает нормально, если не получены новые события. Допустим, я выбрал "Послед…
26 мар '20 в 11:19
1
ответ
Использование KQL для поиска в подсетях
Я хочу найти что-то на предмет IP-адресов из определенного набора подсетей. Некоторые языки запросов достаточно умны, чтобы знать, что /24 - это подсеть, но KQL - нет. Есть ли этому альтернатива? Это не то, что я буду искать, но для примера предполо…
11 май '20 в 16:36
1
ответ
Извлечь расширенные свойства из Microsoft Graph Security API?
Я пытаюсь вытащить базовые события, связанные с предупреждением no Sentinel, через API, однако API Graph Security действительно мало что возвращает. Я не вижу отображенных объектов или расширенных свойств. Я пробовал использовать опцию "развернуть" …
04 июн '20 в 03:04
0
ответов
Разница - нетипичное путешествие, невозможное путешествие, незнакомый вход
У нас есть оповещения безопасности от Azure ATP и MCAS (Microsoft Cloud App Security), настроенных в нашей среде. Мы получаем предупреждения о незнакомых входах, невозможных путешествиях и нетипичных поездках. В моем понимании: Незнакомый вход -in: …
06 авг '20 в 06:05
1
ответ
Индикаторы угроз MISP для часового механизма Azure - проблема со скриптом Python
Я пытаюсь перенести индикаторы угроз из моего экземпляра MISP в azure sentinel, используя документацию по умолчанию для azure на github: https://github.com/microsoftgraph/security-api-solutions/tree/master/Samples/MISP Я выполнил шаги в соответствии…
26 дек '19 в 11:42
2
ответа
развернуть в лазурном журнале часового
В Splunk у нас есть опция детализации на панели управления, возможно ли это в рабочей книге лазурного дозорного? Считайте, что у меня есть одна диаграмма (плитка или круговая диаграмма), поэтому, когда я нажимаю на нее, я хочу открыть другую вкладку…
26 фев '20 в 10:17
2
ответа
Эмуляция белого списка диапазона CIDR в Azure Sentinel
Есть ли способ использовать диапазон CIDR в кусто? приведенный ниже код работает, только если я удалю /24.. let whiteList = dynamic (["192.168.2.0/24", "192.168.1.0/24"]); // setup a whitelist of range IP OfficeActivity | where Operation == "Mailbox…
23 мар '20 в 19:10
1
ответ
Как получить события безопасности Windows в рабочей области Azure Log Analytics?
У меня есть несколько виртуальных машин и масштабируемых наборов виртуальных машин в Azure, для которых я хочу собирать журналы событий безопасности Windows. Я попытался добавить эти события в рабочую область Log Analytics, используемую Sentinel, че…
12 май '20 в 21:58
1
ответ
Попытка переслать общие журналы CEF в Azure Sentinel
Я пересылаю общие журналы CEF в Azure Sentinel и сталкиваюсь с аналогичной проблемой, как указано здесь: https://github.com/MicrosoftDocs/azure-docs/issues/28909 Я считаю, что у меня правильно настроен rsyslog, когда я слушаю порт 514, я вижу журнал…
23 окт '19 в 02:23
1
ответ
Можно ли создавать оповещения о работоспособности источника журнала в Azure Sentinel?
Я пытаюсь создать предупреждение, которое позволит мне узнать, прекращает ли источник данных предоставлять журналы для Sentinel. Хотя я знаю, что он отображает аномалии в данных журнала на панели инструментов, я надеюсь получать предупреждения, если…
16 июн '20 в 20:26
0
ответов
Azure Sentinel - я получаю меньше данных при отправке функцией Time Trigger
Я создал образец функции триггера времени Azure с помощью сценария https://docs.microsoft.com/en-us/azure/azure-monitor/platform/data-collector-api. Я отправил 10 полезных данных JSON через REST API на /api/logs за что я получил Response Code:200 жу…
16 июл '20 в 09:58
0
ответов
Ошибка при добавлении рабочего пространства в лазурный дозорный
Я не могу добавить аналитику журналов в azure sentinel, получаю следующую ошибку Azure Sentinel не может быть добавлен в рабочую область xxxx из-за блокировки /subscriptions/xxxxxxxxxxxxxx/resourceGroups/xxxx/providers/Microsoft.OperationalInsights/…
27 сен '19 в 16:04