计划监视列表
通过 Microsoft Sentinel 监视列表,可从外部数据源收集数据来与 Microsoft Sentinel 环境中的事件关联。 创建后,可在搜索、检测规则、威胁搜寻和响应 playbook 中使用监视列表。 监视列表以名称/值对的形式存储在 Microsoft Sentinel 工作区中,并进行缓存来实现最佳查询性能和低延迟。
使用监视列表的常见方案包括:
通过快速导入 IP 地址、文件哈希和 CSV 文件中的其他数据,快速调查威胁并响应事件。 导入后,可在警报规则、威胁搜寻、工作簿、笔记本和常规查询中使用监视列表名称/值对进行联接和筛选。
将业务数据导入为监视列表。 例如,导入对系统具有特权访问权限或访问权限已终止的员工的用户列表,然后使用监视列表创建允许列表和阻止列表来检测或阻止这些用户登录网络。
减少警报疲劳。 创建允许列表可抑制一组用户的警报(例如授权 IP 地址中的用户执行通常会触发警报的任务),并防止良性事件成为警报。
扩充事件数据。 使用监视列表可通过派生自外部数据源的名称/值对组合来扩充事件数据。