Planejamento de watchlists
As watchlists do Microsoft Azure Sentinel permitem coletar dados de fontes de dados externas para a correlação com os eventos de seu ambiente do Microsoft Azure Sentinel. Depois de criadas, você poderá usar as watchlists em suas pesquisas, regras de detecção, buscas de ameaças e guias estratégicos de resposta. As watchlists são armazenadas no workspace do Microsoft Azure Sentinel como pares nome-valor e em cache para o fornecimento de um desempenho de consulta ideal e baixa latência.
Os cenários comuns para o uso de watchlists incluem:
Investigação de ameaças e resposta a incidentes rapidamente com a imediata importação de endereços IP, hashes de arquivo e outros dados de arquivos CSV. Depois de importada, você poderá usar os pares nome-valor da watchlist para junções e filtros em regras de alerta, busca de ameaças, pastas de trabalho, notebooks e consultas gerais.
Importando dados empresariais como uma watchlist. Por exemplo, importar listas de usuários com acesso privilegiado ao sistema ou de funcionários demitidos e, depois, usar a watchlist para criar listas de permitidos e bloqueados para detectar se esses usuários fizeram login na rede ou para impedi-los de fazê-lo.
Reduzindo a fadiga do alerta. Criar listas de permitidos para suprimir alertas de um grupo de usuários, como usuários de endereços IP autorizados que executem tarefas que normalmente disparariam o alerta, e evitar que eventos benéficos se tornem alertas.
Enriquecendo dados de eventos. Use watchlists para enriquecer seus dados de eventos com combinações de nome-valor derivadas de fontes de dados externas.