[英]How to detect when a security incident occurs
剛剛獲得了一個新職位,我將負責在安全方面進行一些系統集成和自動化。 我從未做過任何集成或自動化,所以這是我的第一個牛仔競技表演。 我有以下工具可供使用:
我得到了一份要完成的行動項目清單。 他們中的很多人都需要在事件發生后立即做出響應,而這正是我迷失的地方。 例如,假設 Zscaler 檢測到 IA 感染,我們希望 X 和 X 操作在檢測到后發生。 我如何確保我們的系統在事件發生后立即收到警報? 我猜這是查詢 API 的問題,但是使用我擁有的工具進行設置的正確方法是什么?
通常,您會將這些安全工具的日志發送到 Log Analytics,並可以基於它們構建 KQL 查詢。
例如,在擁有 McAfee EPO 的自定義日志源后,您可以創建重復查詢,例如
McafeeEPO | 其中 EventType = ThreatEventLog | 擴展 HostCustomEntity = hostname_s,AccountCustomEntity = username_s,IPCustomEntity = ipv4_s
我以https://github.com/Azure/Azure-Sentinel/blob/master/Detections/EsetSMC/eset-threats.yaml為例,你也可以檢查其他人。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.