Pianificare watchlist
I watchlist di Microsoft Sentinel consentono di raccogliere dati da origini dati esterne per la correlazione con gli eventi nell'ambiente di Microsoft Sentinel. Una volta creati, è possibile usare i watchlist in ricerche, regole di rilevamento, ricerca di minacce e playbook delle risposte. I watchlist vengono archiviati nell'area di lavoro di Microsoft Sentinel come coppie nome-valore e vengono memorizzati nella cache per ottimizzare le prestazioni delle query e bassa latenza.
Gli scenari comuni per l'uso di watchlist includono:
Analisi delle minacce e risposta tempestiva agli eventi imprevisti con l'importazione rapida di indirizzi IP, hash di file e altri dati da file CSV. Dopo l'importazione, è possibile usare le coppie nome-valore dei watchlist per eseguire join e applicare filtri in regole di avviso, ricerca di minacce, cartelle di lavoro, notebook e query generali.
Importazione di dati aziendali come watchlist. Importare ad esempio gli elenchi di utenti con accesso al sistema con privilegi oppure gli ex dipendenti e quindi usare il watchlist per creare elenchi di nomi utente consentiti ed elenchi di elementi bloccati usati per rilevare o impedire a tali utenti di accedere alla rete.
Riduzione del sovraccarico di avvisi. Creare gli elenchi di nomi utente consentiti per rimuovere gli avvisi provenienti da un gruppo di utenti, ad esempio dagli utenti con indirizzi IP autorizzati che eseguono attività che normalmente attiverebbero avvisi e impedire che gli eventi leciti diventino avvisi.
Arricchimento dei dati degli eventi. Usare i watchlist per arricchire i dati degli eventi con combinazioni nome-valore derivate da origini dati esterne.