刚刚找到一个新职位,我将负责一些与安全有关的系统集成和自动化。我从来没有做过任何集成或自动化,所以这是我的第一次表演。我有以下工具可以使用:
- ZScaler
- Azure哨兵
- 微软的云计算应用程序安全
- Microsoft Power Suite
- Mcafee EPO
我已经给行动项目完成的列表。其中很多都要求在事件发生后立即做出反应,这正是我不明白的地方。例如,假设Zscaler检测到IA感染,我们希望X和X动作在检测到后发生。我如何确保我们的系统在事故发生后立即收到警报?我猜这是查询API的问题,但是用我拥有的工具设置它的正确方法是什么?
通常您会将这些安全工具的日志发送给Log Analytics,并可以基于它们构建KQL查询。
例如,在拥有McAfee EPO的自定义日志源之后,您可以创建一个循环查询,如
McafeeEPOwhere EventType = ThreatEventLog| extend HostCustomEntity = hostname_s, AccountCustomEntity = username_s, IPCustomEntity = ipv4_s
我用https://github.com/Azure/Azure-Sentinel/blob/master/Detections/EsetSMC/eset-threats.yaml作为例子,你也可以查看其他的