Planen von Watchlists
Microsoft Sentinel-Watchlists ermöglichen die Erfassung von Daten aus externen Datenquellen, um sie mit Ereignissen in Ihrer Microsoft Sentinel-Umgebung zu korrelieren. Nach der Erstellung können Sie Watchlists in Ihrer Suche, für Erkennungsregeln, bei der Bedrohungssuche sowie in Playbooks für die Reaktion auf Bedrohungen verwenden. Watchlists werden in Ihrem Microsoft Sentinel-Arbeitsbereich als Name/Wert-Paare gespeichert und für optimale Abfrageleistung und geringe Latenz zwischengespeichert.
Häufige Szenarien für die Verwendung von Watchlists umfassen Folgendes:
Untersuchen von Bedrohungen und schnelles Reagieren auf Incidents, indem IP-Adressen, Dateihashes und anderen Daten schnell aus CSV-Dateien importiert werden. Nach dem Importieren können Sie Name-Wert-Paare der Watchlist zum Verknüpfen und Filtern in Warnungsregeln, bei der Bedrohungssuche, in Arbeitsmappen, in Notebooks und für allgemeine Abfragen verwenden.
Importieren von Geschäftsdaten als Watchliste. Importieren Sie z. B. Benutzerlisten mit privilegiertem Systemzugriff oder ehemaligen Mitarbeitern, und verwenden Sie dann die Watchlist, um Positivlisten und Sperrlisten zu erstellen, mit denen eine Anmeldung dieser Benutzer beim Netzwerk erkannt oder verhindert wird.
Reduzieren von Warnungsmüdigkeit. Erstellen Sie Positivlisten, um Warnungen von einer Gruppe von Benutzern zu unterdrücken (z. B. Benutzer von autorisierten IP-Adressen, die Aufgaben ausführen, durch die normalerweise die Warnung ausgelöst würde) und zu verhindern, dass zulässige Ereignisse zu Warnungen führen.
Erweitern von Ereignisdaten. Verwenden Sie Watchlists, um Ihre Ereignisdaten mit Name-Wert-Kombinationen zu erweitern, die aus externen Datenquellen stammen.