#111. マイクロソフトのSIEM

2023年1月19日

MS Sentinel / SIEM – specific indicators vs default queries
byu/l00lighters incybersecurity

投稿者は「In the real world how common is it for a SOC to spend some amount of time researching relevant threats and plugging those indicators into SIEM, versus setting up relevant default alerts / hunting etc and going from there?」を訊いているようです。
同時にSentinelを強く推しているようで「Sentinel comes with quite a breadth of analytics rules and hunting queries that cover a fair amount of MITRE ATT&CK, seems as a bare minimum turning on the right default rules might provide a reasonable first step even without watching for specific IPs, hashes, domains etc?」と発言しています。

当該Sentinelを導入した現場を実のところ見たことがなく、どのようなものなのか分かりません。ソフトバンク・テクノロジーのブログには端的に記述されています。構築手順は日商さんのものがあります。ソフトバンクブログではCASBのほかZscalerのログをも対象にするようです。コンソールおよびその操作について他を当たりましたが…ちょっと見当たりませんでした。

フォロワーの皆さん、Sentinelを現場で使用していますか、あるいはしているのを見たことはありますか？