Introduction
Microsoft Azure Sentinel fournit un tableau pour stocker les listes de données accessibles aux requêtes KQL (Kusto Query Language). La page Watchlists dans Microsoft Azure Sentinel fournit les options de gestion pour gérer les listes.
Vous êtes analyste des opérations de sécurité et vous travaillez dans une entreprise qui a implémenté Microsoft Sentinel. Les membres de l’équipe chargée des opérations de sécurité doivent hiérarchiser les alertes qui ont un impact sur les serveurs cibles à valeur élevée.
Vous devez importer une liste de noms de serveurs dans Microsoft Azure Sentinel, qui peut ensuite être utilisée par des requêtes de détection afin de définir un champ de priorité. Vous importez une liste de serveurs dans la page Watchlists de Microsoft Azure Sentinel. Une fois créé, vous indiquez à l’équipe des opérations de sécurité d’utiliser la liste de suivi dans leurs requêtes KQL.
À l’issue de ce module, vous pourrez :
- Créer une watchlist dans Microsoft Sentinel
- Utiliser KQL pour accéder à la watchlist dans Microsoft Sentinel
Prérequis
Aucun