Planear listas de reproducción
Las listas de reproducción de Microsoft Sentinel habilitan la recopilación de datos de orígenes de datos externos para la correlación con los eventos en el entorno de Microsoft Sentinel. Una vez que crea las listas de seguimiento, puede usarlas búsquedas, reglas de detección, búsqueda de amenazas y cuaderno de estrategias de respuesta. Las listas de reproducción se almacenan en el área de trabajo de Microsoft Sentinel como pares nombre-valor y se almacenan en caché para obtener un rendimiento de consulta óptimo y una latencia baja.
Algunos escenarios habituales para usar listas de seguimiento son:
Investigación de amenazas y respuesta a los incidentes con una rápida importación de direcciones IP, hashes de archivo y otros datos de archivos CSV. Una vez que se importan, puede usar los pares nombre-valor de las listas de seguimiento para combinaciones y filtros en reglas de alerta, búsqueda de amenazas, libros, cuadernos y consultas generales.
Importación de datos comerciales como una lista de reproducción. Por ejemplo, importe listas de usuarios con privilegios de acceso del sistema o de empleados despedidos. A continuación, use la lista de seguimiento para crear listas de permitidos y de bloqueados que se usen para detectar o impedir que dichos usuarios inicien sesión en la red.
Reducción de la fatiga por alerta. Cree listas de permitidos para suprimir las alertas de un grupo de usuarios, como usuarios de direcciones IP autorizadas que realizan tareas que normalmente desencadenarían la alerta, y evitar que eventos benignos se conviertan en alertas.
Enriquecimiento de datos de eventos. Use listas de seguimiento para enriquecer los datos de eventos con combinaciones de nombre-valor obtenidas de orígenes de datos externos.