Azure Event Hubs从Azure服务收集数据和日志。insightidr连接到Event Hubs来访问和获取数据。。下面的记录数据。。
- Azure活动目录:在企业Azure环境中管理用户的身份和权限,并跟踪用户的签到活动。
- azure monitor: Azure资源管理器(ARM)的运作。。这些信息包括提供对象、启动新的虚拟机(VM)、改变Azure权限等管理行为。。
- Azure安全中心监控安全事件,并创建警报。。
- Office 365, Exchange, SQL数据库包括管理员和用户的活动。。
- 微软dns响应域名请求,并在日志中记录连接到因特网的域名。。
insightidrは、Event HubsとAzureアクティビティログAPIから取得したログデータを、エンドポイント、ネットワーク、オンプレミスデータセンター、其他のクラウドプラットフォーム(Amazon AWSなど)から取得した情報と組み合わせます。从整个企业数字环境中收集的数据可以用于搜索、报告和分析。。
insightidr的用户行为分析(UBA)测量Azure活动目录检测到的用户的基线活动,并标记不同寻常的行为。。这些行为表明了用户授权的安全性受到了侵犯,比如违规的认证请求和不正常的单点登录(SSO)活动。。
insightidr不仅可以生成自己的警报,还可以灵活传送Azure安全中心生成的警报。。
insightidr支持关于监控、审计日志记录和数据保存的云报告和合规要求。在合规审计期间,你可以展示日志数据的来源,为日志的保存提供证据。。你可以向审计人员展示你的日志存储位置,证明你有合适的日志记录,证明你提供了合适的日志来源。。
insightidr直观的仪表盘可以向高管和董事会成员概述企业的威胁情况。显示越来越多的攻击,网络中最容易被攻击的应用程序和区域,以及被修改的威胁。。
我们可以改进和增强应用程序。。本地的基于云的工具insightidr可以立即扩展以支持增加活动和引入新应用程序,同时保持安全保护范围。
另外,insightidr的设计是,无论新的数据源在哪里,都能迅速、无缝地与它们合作。。与Azure、AWS和本地环境相结合的insightidr可以帮助使用混合环境的企业将应用和服务转移到新平台。