Introduzione
Microsoft Sentinel include una tabella per l'archiviazione dei dati degli elenchi accessibili a linguaggio di query Kusto (KQL). La pagina Watchlist in Microsoft Sentinel contiene le opzioni per la gestione degli elenchi.
L'utente agisce in qualità di Security Operations Analyst presso un'azienda che ha implementato Microsoft Sentinel. I membri del team Security Operations devono assegnare priorità agli avvisi che influiscono sui server di destinazione di valore elevato.
È necessario importare un elenco di nomi di server in Microsoft Sentinel, che può quindi essere usato dalle query di rilevamento per impostare un campo di priorità. Si importa un elenco di server nella pagina Watchlist di Microsoft Sentinel. Una volta creato, si indica al team Security Operations di usare il watchlist nelle loro query KQL.
Al termine di questo modulo si sarà in grado di:
- Creare una watchlist con Microsoft Sentinel
- Usare KQL per accedere alla watchlist con Microsoft Sentinel
Prerequisiti
Nessuno