관심 목록 계획
Microsoft Sentinel 관심 목록을 사용하면 보유 중인 Microsoft Sentinel 환경의 이벤트와의 연결을 위해 외부 데이터에서 데이터를 수집할 수 있게 됩니다. 생성한 다음에는 검색, 검색 규칙, 위협 헌팅, 대응 플레이북에 관심 목록을 활용할 수 있습니다. 관심 목록은 Microsoft Sentinel 작업 영역에 이름 값 쌍으로 저장되며 쿼리 성능 최적화와 대기 시간 최소화를 위해 캐시됩니다.
관심 목록을 사용하는 일반적인 시나리오는 다음을 포함합니다.
IP 주소, 파일 해시, 기타 데이터를 CSV 파일에서 신속하게 가져와 위협 조사 및 인시던트 대응을 빠르게 진행. 한 번 가져온 뒤부터는 관심 목록을 참가용 이름 값 쌍으로 사용하는 한편, 경고 규칙, 위협 헌팅, 통합 문서, 노트북, 일반 쿼리 관련 필터로 활용할 수 있습니다.
관심 목록으로 비즈니스 데이터 가져오기. 예를 들어 시스템 액세스 권한이 높은 사용자 목록이나 권한이 종료된 직원 사용자 목록을 가져온 뒤 관심 목록을 사용해 허용 목록 및 차단 목록을 만들고 이를 통해 해당 사용자들이 네트워크에 로그인하는 것을 검색하거나 방지할 수 있습니다.
경고 피로 감소. 일반적으로 경고를 트리거할 수 있는 작업을 수행하는 허가된 IP 주소를 사용하는 사용자와 같이, 사용자 그룹에서 발생하는 경고를 억제하고, 무해한 이벤트로 인해 이러한 경고가 발생하지 않도록 방지하기 위해 허용 목록을 만듭니다.
이벤트 데이터 보강. 관심 목록을 사용해 외부 데이터 소스에서 파생된 이름 값 조합으로 이벤트 데이터를 보강합니다.