Volglijsten plannen
Met microsoft Sentinel-volglijsten kunt u gegevens uit externe gegevensbronnen verzamelen voor correlatie met de gebeurtenissen in uw Microsoft Sentinel-omgeving. Zodra u deze hebt gemaakt, kunt u volglijsten gebruiken in uw playbooks voor zoekopdrachten, detectieregels, opsporing van bedreigingen en reactie. Volglijsten worden opgeslagen in uw Microsoft Sentinel-werkruimte als naam-waardeparen en worden in de cache opgeslagen voor optimale queryprestaties en lage latentie.
Veelvoorkomende scenario's voor het gebruik van volglijsten zijn:
Bedreigingen onderzoeken en snel reageren op incidenten met de snelle import van IP-adressen, bestands-hashes en andere gegevens uit CSV-bestanden. Nadat u deze hebt geïmporteerd, kunt u watchlist-naam-waardeparen gebruiken voor joins en filters in waarschuwingsregels, opsporing van bedreigingen, werkmappen, notebooks en algemene query's.
Zakelijke gegevens importeren als volglijst. Importeer bijvoorbeeld gebruikerslijsten met bevoegde systeemtoegang of beëindigde werknemers en gebruik vervolgens de volglijst om acceptatielijsten en bloklijsten te maken die worden gebruikt om te detecteren of te voorkomen dat die gebruikers zich aanmelden bij het netwerk.
Het verminderen van waarschuwingsmoeheid. Maak acceptatielijsten om waarschuwingen van een groep gebruikers te onderdrukken, zoals gebruikers van geautoriseerde IP-adressen die taken uitvoeren die normaal gesproken de waarschuwing zouden activeren en voorkomen dat goedaardige gebeurtenissen waarschuwingen worden.
Gebeurtenisgegevens verrijken. Volglijsten gebruiken om uw gebeurtenisgegevens te verrijken met combinaties van naamwaarden die zijn afgeleid van externe gegevensbronnen.