Day24:今天我们来聊一下Azure Sentinel中使用的关注清单

Azure Sentinel提供资料表来储存可供Kusto查询语言(KQL)查询存取的清单资料。

Azure Sentinel中的[关注清单]页面有提供维护清单的管理选项。

Azure Sentinel关注清单让我们可以从外部资料源收集资料,以便与Azure Sentinel

环境中的事件相互关联。建立之後就可以在搜寻,侦测规则,威胁搜捕以及回应手册中

使用关注清单。

使用关注清单的常见案例包括:

-快速从 CSV 档案汇入 IP 位址,档案杂凑和其他资料,以调查威胁并快速回应事件。

汇入之後就可以使用成对的关注清单名称与值进行联结及筛选,运用於警示规则,

威胁搜捕活页簿、笔记本及一般查询中。

-将商务资料汇入作为关注清单。 例如:汇入具有特殊权限系统存取权的使用者清单或

离职员工,然後使用关注清单来建立允许和拒绝清单,用於侦测或防止这些使用者登入

网路。

-降低警示疲劳。建立允许清单让警示对特定群组的使用者隐藏,例如自已授权IP位址的

使用者,这些使用者执行的工作通常会触发警示,允许清单也可避免良性事件变成警示。

-扩充事件资料。 使用关注清单,透过衍生自外部资料源的名称数值组合来扩充事件资料。

https://ithelp.ithome.com.tw/upload/images/20211008/20112182yTDW1srqJW.png


<<:  23 - 建立结构化的 Log (1/4) - Elastic Common Schema 结构化 Log 的规范

>>:  [Day23]交易控制

AE骇客萤幕打字效果3-Day12

接续昨天的练习 1.新增一个Adjustment Layer 2.套上Optics Compensa...

[Pizza吃到饱-2]【乔e欧爸爸 手工披萨吃到饱-台中新时代店】GIOIA PAPA handmade pizza lover

温馨小提醒:吃多少,拿多少(避免造成浪费啊~) 疫情前,我总是会在影片下方注明「吃多少,拿多少(避免...

浅谈人机结合

人的科技文明发展始终来自於人性 在现今的科技与资讯发达的社会,人手一机已不再是奢望,连小小年纪的小朋...

#7 Web Layout: CSS Fundamentals

Final Design CSS Web Layout Tips 1. Horizontally c...

Day17-Vue Router与前端路由管理

什麽是路由? 浏览器透过不同的网址,向後端的网页服务器发送请求 (Request),而服务器接收到浏...