Planifier des watchlists
Les watchlists de Microsoft Azure Sentinel activent la collecte de données à partir de sources de données externes pour la corrélation avec les événements dans votre environnement Microsoft Azure Sentinel. Une fois créées, vous pouvez utiliser les Watchlists dans vos playbooks de recherche, de détection, de recherche de menace et de réponse. Les watchlists sont stockées dans votre espace de travail Microsoft Azure Sentinel en tant que paires nom-valeur, et mises en cache afin d’offrir des performances de requête optimales et une faible latence.
Les scénarios courants pour l’utilisation des Watchlists sont notamment les suivants :
L’examen des menaces et la réponse rapide aux incidents avec l’importation rapide d’adresses IP, de hachages de fichiers et d’autres données à partir de fichiers CSV. Une fois importées, vous pouvez utiliser des paires nom-valeur de Watchlist pour les jointures et les filtres dans les règles d’alerte, la recherche de menaces, les classeurs, les notebook et les requêtes générales.
Importation de données métier en tant que Watchlist. Par exemple, importez des listes d’utilisateurs avec un accès privilégié au système, ou des employés arrêtés, puis utilisez la Watchlist pour créer des listes d’autorisation et de blocage utilisées pour détecter ou empêcher ces utilisateurs de se connecter au réseau.
Réduction de fatigue des alertes. Créer des listes d’autorisation pour supprimer des alertes d’un groupe d’utilisateurs, tels que les utilisateurs d’adresses IP autorisées qui effectuent des tâches qui déclencheraient normalement l’alerte, et empêchent les événements bénins de devenir des alertes.
Enrichissement des données d'événement. Utilisez les Watchlists pour enrichir vos données d’événement avec des combinaisons nom-valeur dérivées de sources de données externes.