Planowanie list obserwowanych
Listy kontrolne usługi Microsoft Sentinel umożliwiają zbieranie danych z zewnętrznych źródeł danych w celu korelacji ze zdarzeniami w środowisku usługi Microsoft Sentinel. Po utworzeniu można używać list do obejrzenia w podręcznikach wyszukiwania, reguł wykrywania, wyszukiwania zagrożeń i podręczników reagowania na nie. Listy kontrolne są przechowywane w obszarze roboczym usługi Microsoft Sentinel jako pary nazwa-wartość i są buforowane w celu uzyskania optymalnej wydajności zapytań i małych opóźnień.
Typowe scenariusze korzystania z list obserwowanych obejmują:
Szybkie badanie zagrożeń i reagowanie na zdarzenia dzięki szybkiemu importowaniu adresów IP, skrótów plików i innych danych z plików CSV. Po zaimportowaniu można używać par nazwa-wartość listy obserwowanych dla sprzężeń i filtrów w regułach alertów, wyszukiwaniu zagrożeń, skoroszytach, notesach i ogólnych zapytaniach.
Importowanie danych biznesowych jako listy kontrolnej. Na przykład zaimportuj listy użytkowników z uprzywilejowanym dostępem do systemu lub zakończonymi pracownikami, a następnie użyj listy kontrolnej, aby utworzyć listy dozwolonych i listy zablokowanych używane do wykrywania lub zapobiegania zalogowaniu się tych użytkowników do sieci.
Zmniejszenie zmęczenia alertów. Utwórz listy dozwolonych, aby pomijać alerty z grupy użytkowników, takich jak użytkownicy z autoryzowanych adresów IP, które wykonują zadania, które zwykle wyzwalają alert, i zapobiegają utracie alertów.
Wzbogacanie danych zdarzeń. Użyj list kontrolnych, aby wzbogacić dane zdarzenia o kombinacje nazwa-wartość pochodzące z zewnętrznych źródeł danych.