Azure Sentinel提供资料表来储存可供Kusto查询语言(KQL)查询存取的清单资料。
Azure Sentinel中的[关注清单]页面有提供维护清单的管理选项。
Azure Sentinel关注清单让我们可以从外部资料源收集资料,以便与Azure Sentinel
环境中的事件相互关联。建立之後就可以在搜寻,侦测规则,威胁搜捕以及回应手册中
使用关注清单。
-快速从 CSV 档案汇入 IP 位址,档案杂凑和其他资料,以调查威胁并快速回应事件。
汇入之後就可以使用成对的关注清单名称与值进行联结及筛选,运用於警示规则,
威胁搜捕活页簿、笔记本及一般查询中。
-将商务资料汇入作为关注清单。 例如:汇入具有特殊权限系统存取权的使用者清单或
离职员工,然後使用关注清单来建立允许和拒绝清单,用於侦测或防止这些使用者登入
网路。
-降低警示疲劳。建立允许清单让警示对特定群组的使用者隐藏,例如自已授权IP位址的
使用者,这些使用者执行的工作通常会触发警示,允许清单也可避免良性事件变成警示。
-扩充事件资料。 使用关注清单,透过衍生自外部资料源的名称数值组合来扩充事件资料。
<<: 23 - 建立结构化的 Log (1/4) - Elastic Common Schema 结构化 Log 的规范
好不容易花了30天养成的习惯,当然要持续下去! 前30天混杂着过去和现在的经验,要成为一个合格PM,...
第一章 开发环境与元件介绍 Python 简单、应用广泛、能快速上手 Python是完全物件导向的语...
以往使用MySQL遇到要执行ddl语法的时候,为了不影响线上运作,会使用工具来执行。 比较常听到的使...
前言 昨天有说到在储存使用者的密码时,不管是用 AES 把他们加密起来,或是经过 SHA1 杂凑之後...
[Day 26] Batch Processing (3-2) - MapReduce Map-Si...