Планирование списков отслеживания
Списки отслеживания в Microsoft Sentinel позволяют собирать данные из внешних источников данных и сопоставлять их с событиями в среде Microsoft Sentinel. После создания списки отслеживания можно использовать при поиске, в правилах обнаружения, при поиске угроз, а также в сборниках схем реагирования. Списки отслеживания хранятся в рабочей области Microsoft Sentinel в виде пар "имя/значение" и кэшируются для обеспечения оптимальной производительности запросов и низкой задержки.
Распространенные сценарии использования списков отслеживания включают следующие.
Исследование угроз и оперативное реагирование на инциденты с помощью быстрого импорта IP-адресов, хэшей файлов и других данных из CSV-файлов. После импорта пары "имя/значение" из списка отслеживания можно использовать для соединений и фильтров в правилах оповещений, при поиске угроз, в книгах, записных книжках и общих запросах.
Импорт бизнес-данных в виде списка отслеживания. Например, можно импортировать списки пользователей с привилегированным доступом к системе или списки уволенных сотрудников, а затем использовать список отслеживания для создания списков разрешений и списков блокировок, применяемых для обнаружения пользователей в сети и предотвращения их входа в сеть.
Сокращение объема оповещений. Создайте списки разрешений для подавления оповещений от группы пользователей, например от пользователей с разрешенных IP-адресов, выполняющих задачи, которые обычно активируют оповещения, и предотвращения преобразования безопасных событий в оповещения.
Обогащение данных о событиях. Используйте списки отслеживания, чтобы дополнить данные событий с помощью сочетаний "имя/значение", полученных из внешних источников данных.