Azure Sentinel提供資料表來儲存可供Kusto查詢語言(KQL)查詢存取的清單資料。

Azure Sentinel中的[關注清單]頁面有提供維護清單的管理選項。

Azure Sentinel關注清單讓我們可以從外部資料源收集資料,以便與Azure Sentinel

環境中的事件相互關聯。建立之後就可以在搜尋,偵測規則,威脅搜捕以及回應手冊中

使用關注清單。

使用關注清單的常見案例包括：

-快速從 CSV 檔案匯入 IP 位址,檔案雜湊和其他資料,以調查威脅並快速回應事件。

匯入之後就可以使用成對的關注清單名稱與值進行聯結及篩選,運用於警示規則,

威脅搜捕活頁簿、筆記本及一般查詢中。

-將商務資料匯入作為關注清單。 例如:匯入具有特殊權限系統存取權的使用者清單或

離職員工,然後使用關注清單來建立允許和拒絕清單,用於偵測或防止這些使用者登入

網路。

-降低警示疲勞。建立允許清單讓警示對特定群組的使用者隱藏，例如自已授權IP位址的

使用者,這些使用者執行的工作通常會觸發警示,允許清單也可避免良性事件變成警示。

-擴充事件資料。 使用關注清單,透過衍生自外部資料源的名稱數值組合來擴充事件資料。