微软宣布 Azure Sentinel 中监视列表功能的公共预览版

早在2019年，微软 公布 Azure Sentinel，一种在 Azure 中构建的本机安全信息和事件管理 (SIEM) 工具。 它允许 SecOps 团队在威胁对组织造成任何伤害之前查看并阻止它们。 微软今天宣布在 Azure Sentinel 中公开预览列表功能。

Azure Sentinel 监视列表将支持从外部数据源收集数据，以便与 Azure Sentinel 环境中的事件相关联。 SecOps 团队可以在他们的搜索、检测规则、威胁搜寻和响应手册中使用监视列表。 新的监视列表功能可用于以下场景：

• 通过从 csv 文件快速导入 IP 地址、文件哈希等，调查威胁并快速响应事件。 然后利用监视列表名称/值对加入和过滤，以用于警报规则、威胁搜寻、工作簿、笔记本和一般查询。 

• 导入业务数据，例如具有特权系统访问权限的用户列表作为监视列表。 然后使用监视列表创建允许和拒绝列表。 例如，使用包含已离职员工列表的监视列表来检测或阻止他们登录网络。  

• 创建允许列表以减少警报疲劳。 例如，使用监视列表构建允许列表，以抑制来自有限 IP 地址集的警报以执行特定功能，从而消除良性事件成为警报。 

• 使用从外部数据源派生的字段值组合来丰富您的事件数据。 

Sumber: 微软