Day24:今天我们来聊一下Azure Sentinel中使用的关注清单

Azure Sentinel提供资料表来储存可供Kusto查询语言(KQL)查询存取的清单资料。

Azure Sentinel中的[关注清单]页面有提供维护清单的管理选项。

Azure Sentinel关注清单让我们可以从外部资料源收集资料,以便与Azure Sentinel

环境中的事件相互关联。建立之後就可以在搜寻,侦测规则,威胁搜捕以及回应手册中

使用关注清单。

使用关注清单的常见案例包括：

-快速从 CSV 档案汇入 IP 位址,档案杂凑和其他资料,以调查威胁并快速回应事件。

汇入之後就可以使用成对的关注清单名称与值进行联结及筛选,运用於警示规则,

威胁搜捕活页簿、笔记本及一般查询中。

-将商务资料汇入作为关注清单。 例如:汇入具有特殊权限系统存取权的使用者清单或

离职员工,然後使用关注清单来建立允许和拒绝清单,用於侦测或防止这些使用者登入

网路。

-降低警示疲劳。建立允许清单让警示对特定群组的使用者隐藏，例如自已授权IP位址的

使用者,这些使用者执行的工作通常会触发警示,允许清单也可避免良性事件变成警示。

-扩充事件资料。 使用关注清单,透过衍生自外部资料源的名称数值组合来扩充事件资料。