Einführung
In Microsoft Sentinel ist eine Tabelle zum Speichern von Listendaten verfügbar, auf die mithilfe von KQL-Abfragen (Kusto Query Language) zugegriffen werden kann. Auf der Seite „Watchlists“ in Microsoft Sentinel werden die Optionen zur Verwaltung dieser Listen beschrieben.
Sie sind als Security Operations Analyst für ein Unternehmen tätig, das Microsoft Sentinel implementiert hat. Die Mitglieder des Security Operations-Teams müssen Warnungen priorisieren, die sich auf hochwertige Zielserver auswirken.
Sie müssen eine Liste mit Servernamen in Microsoft Sentinel importieren, die von Erkennungsabfragen zum Festlegen eines Prioritätsfelds genutzt werden kann. Sie importieren eine Liste mit Servern in die Seite „Watchlists“ in Microsoft Sentinel. Nachdem Sie die Watchlist erstellt haben, weisen Sie das Security Operations-Team an, diese für ihre KQL-Abfragen zu verwenden.
Nach Abschluss dieses Moduls können Sie folgende Aufgaben durchführen:
- Erstellen einer Watchlist mit Microsoft Sentinel
- Zugreifen auf die Watchlist mit Microsoft Sentinel mithilfe von KQL
Voraussetzungen
Keine