Planera för visningslistor

Slutförd

Med Microsoft Sentinel-bevakningslistor kan du samla in data från externa datakällor för korrelation med händelserna i din Microsoft Sentinel-miljö. När du har skapat dem kan du använda bevakningslistor i dina sök-, identifieringsregler, hotjakt och svarsspelböcker. Bevakningslistor lagras i din Microsoft Sentinel-arbetsyta som namn/värde-par och cachelagras för optimal frågeprestanda och låg svarstid.

Vanliga scenarier för användning av bevakningslistor är:

  • Undersöka hot och snabbt hantera incidenter med snabb import av IP-adresser, filhashvärden och andra data från CSV-filer. När du har importerat kan du använda namn/värde-par i visningslistan för kopplingar och filter i aviseringsregler, hotjakt, arbetsböcker, notebook-filer och allmänna frågor.

  • Importera affärsdata som en bevakningslista. Du kan till exempel importera användarlistor med privilegierad systemåtkomst eller avslutade anställda och sedan använda visningslistan för att skapa tillåtna listor och blocklistor som används för att identifiera eller förhindra att dessa användare loggar in i nätverket.

  • Minska aviseringströtthet. Skapa tillåtna listor för att förhindra aviseringar från en grupp användare, till exempel användare från auktoriserade IP-adresser som utför uppgifter som normalt utlöser aviseringen, och förhindra att godartade händelser blir aviseringar.

  • Berika händelsedata. Använd visningslistor för att utöka dina händelsedata med namn/värde-kombinationer som härleds från externa datakällor.