はじめに
Microsoft Sentinel には、Kusto クエリ言語 (KQL) クエリからアクセスできるリスト データを格納するテーブルがあります。 Microsoft Sentinel の [ウォッチリスト] ページには、このリストを維持するための管理オプションがあります。
あなたは、Microsoft Sentinel を実装した会社で働いているセキュリティ運用アナリストです。 セキュリティ運用チームのメンバーは、高価値のターゲット サーバーに影響を与えるアラートに優先順位を付ける必要があります。
サーバー名のリストを Microsoft Sentinel にインポートする必要があります。それを検出クエリで使用して、優先度フィールドを設定できます。 Microsoft Sentinel の [ウォッチリスト] ページにサーバーのリストをインポートします。 作成したら、そのウォッチリストを KQL クエリで使用するようセキュリティ運用チームに指示します。
このモジュールを終了すると、次のことができるようになります。
- Microsoft Sentinel でウォッチリストを作成する
- KQL を使用して Microsoft Sentinel でウォッチリストにアクセスする
前提条件
なし