規劃關注清單
Microsoft Sentinel 關注清單可讓您從外部資料來源收集資料,以便與 Microsoft Sentinel 環境中的事件相互關聯。 建立之後,您就可以在搜尋、偵測規則、威脅搜捕以及回應手冊中使用關注清單。 關注清單會以成對的名稱和數值形式儲存在 Microsoft Sentinel 工作區中,並快取處理以達到最佳查詢效能和低延遲。
使用關注清單的常見案例包括:
快速從 CSV 檔案匯入 IP 位址、檔案雜湊和其他資料,以調查威脅並快速回應事件。 匯入之後,您就可以使用成對的關注清單名稱與值進行聯結及篩選,運用於警示規則、威脅搜捕、活頁簿、筆記本及一般查詢中。
將商務資料匯入作為關注清單。 例如,匯入具有特殊權限系統存取權的使用者清單或離職員工,然後使用關注清單來建立允許清單和封鎖清單,以用於偵測或防止這些使用者登入網路。
降低警示疲勞。 建立允許清單可對特定群組的使用者隱藏警示,例如來自已授權 IP 位址的使用者,這些使用者執行的工作通常會觸發警示,允許清單也可避免良性事件變為警示。
擴充事件資料。 使用關注清單,透過衍生自外部資料源的名稱數值組合來擴充事件資料。