ウォッチリストの計画
Microsoft Sentinel のウォッチリストを使用すると、お使いの Microsoft Sentinel 環境内のイベントと関連するデータを、外部データ ソースから収集できます。 ウォッチリストを作成すると、検索、検出規則、脅威ハンティング、および応答プレイブックで使用できます。 ウォッチリストは、Microsoft Sentinel ワークスペースに名前と値のペアとして格納され、最適なクエリ パフォーマンスと短い待ち時間のためにキャッシュされます。
ウォッチリストを使用する一般的なシナリオは次のとおりです。
IP アドレス、ファイル ハッシュ、およびその他のデータを CSV ファイルから短時間でインポートすることで、迅速に脅威の調査とインシデントへの対応を行います。 インポート後は、アラート ルール、脅威ハンティング、ブック、ノートブック、および一般的なクエリの結合とフィルターに、ウォッチリストの名前と値のペアを使用できます。
ウォッチリストとしてビジネス データをインポートします。 たとえば、システムの特権アクセスが割り当てられているユーザーのリスト、または退職した従業員をインポートした後、ウォッチリストを使用して、これらのユーザーによるネットワークへのログインを検出または防止するために使用される許可リストとブロックリストを作成します。
アラート疲れを軽減します。 通常はアラートをトリガーするタスクを実行する承認済み IP アドレスのユーザーなど、ユーザー グループからのアラートが表示されないように許可リストを作成し、問題のないイベントがアラートにならないようにします。
イベント データを強化します。 ウォッチリストを使用して、外部データ ソースから派生した名前と値の組み合わせでイベント データを強化します。