Seznamy ke zhlédnutí v Microsoft Sentinelu
Seznamy ke zhlédnutí v Microsoft Sentinelu umožňují korelovat data ze zdroje dat, který poskytujete s událostmi ve vašem prostředí Microsoft Sentinelu. Můžete například vytvořit seznam ke zhlédnutí se seznamem vysoce hodnotných prostředků, ukončených zaměstnanců nebo účtů služeb ve vašem prostředí.
V playbookech vyhledávání, pravidel detekce, proaktivního vyhledávání hrozeb a odpovědí používejte seznamy ke zhlédnutí.
Seznamy ke zhlédnutí se ukládají v pracovním prostoru Služby Microsoft Sentinel jako páry název-hodnota a ukládají se do mezipaměti pro optimální výkon dotazů a nízkou latenci.
Důležité
Funkce pro šablony seznamu ke zhlédnutí a možnost vytvořit seznam ke zhlédnutí ze souboru ve službě Azure Storage jsou aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
Kdy použít seznamy ke zhlédnutí
Seznam ke zhlédnutí vám pomůže s následujícími scénáři:
Rychle prozkoumejte hrozby a reagujte na incidenty pomocí rychlého importu IP adres, hodnot hash souborů a dalších dat ze souborů CSV. Po importu dat použijte páry název-hodnota seznamu ke zhlédnutí pro spojení a filtry v pravidlech upozornění, proaktivního vyhledávání hrozeb, sešitech, poznámkových blocích a obecných dotazech.
Import obchodních dat jako seznamu ke zhlédnutí Můžete například importovat seznamy uživatelů s privilegovaným přístupem k systému nebo ukončené zaměstnance. Pak pomocí seznamu ke zhlédnutí vytvořte seznamy povolených a blokovaných seznamů, abyste zjistili nebo zabránili těmto uživatelům v přihlášení k síti.
Snižte únavu upozornění. Vytvořte seznamy povolených pro potlačení výstrah ze skupiny uživatelů, jako jsou uživatelé z autorizovaných IP adres, které provádějí úlohy, které by výstrahu normálně aktivovaly. Zabránit tomu, aby se neškodné události staly výstrahami.
Obohacení dat událostí Pomocí seznamů ke zhlédnutí můžete data událostí rozšířit o kombinace název-hodnota odvozené z externích zdrojů dat.
Omezení seznamů ke zhlédnutí
Než vytvoříte seznam ke zhlédnutí, mějte na paměti následující omezení:
- Při vytváření seznamu ke zhlédnutí musí být název a alias seznamu ke zhlédnutí mezi 3 a 64 znaky. První a poslední znaky musí být alfanumerické. Mezi první a poslední znaky ale můžete zahrnout prázdné znaky, pomlčky a podtržítka.
- Použití seznamů ke zhlédnutí by mělo být omezené na referenční data, protože nejsou určené pro velké objemy dat.
- Celkový počet aktivních položek seznamu ke zhlédnutí napříč všemi seznamy ke zhlédnutí v jednom pracovním prostoru je v současné době omezený na 10 milionů. Odstraněné položky seznamu ke zhlédnutí se do tohoto součtu nezapočítávají. Pokud potřebujete možnost odkazovat na velké objemy dat, zvažte jejich ingestování pomocí vlastních protokolů .
- Seznamy ke zhlédnutí se aktualizují v pracovním prostoru každých 12 dnů a aktualizují
TimeGenerated
se pole. - Použití Lighthouse ke správě seznamů ke zhlédnutí v různých pracovních prostorech se v tuto chvíli nepodporuje.
- Nahrávání místních souborů je aktuálně omezeno na soubory o velikosti až 3,8 MB.
- Nahrávání souborů z účtu služby Azure Storage (ve verzi Preview) je v současné době omezené na soubory o velikosti až 500 MB.
- Seznamy ke zhlédnutí musí dodržovat stejná omezení sloupců a tabulek jako entity KQL. Další informace najdete v tématu Názvy entit KQL.
Možnosti vytváření seznamů ke zhlédnutí
Vytvořte v Microsoft Sentinelu seznam ke zhlédnutí ze souboru, který nahrajete z místní složky nebo ze souboru ve svém účtu Azure Storage.
Můžete si stáhnout jednu ze šablon seznamu ke zhlédnutí z Microsoft Sentinelu a naplnit je daty. Potom tento soubor nahrajte při vytváření seznamu ke zhlédnutí v Microsoft Sentinelu.
Pokud chcete vytvořit seznam ke zhlédnutí z velkého souboru o velikosti až 500 MB, nahrajte ho do svého účtu Azure Storage. Potom vytvořte adresu URL sdíleného přístupového podpisu pro Microsoft Sentinel, která načte data seznamu ke zhlédnutí. Adresa URL sdíleného přístupového podpisu je identifikátor URI, který obsahuje identifikátor URI prostředku i token sdíleného přístupového podpisu prostředku, jako je soubor CSV ve vašem účtu úložiště. Nakonec přidejte ke svému pracovnímu prostoru v Microsoft Sentinelu seznam ke zhlédnutí.
Další informace najdete v následujících článcích:
- Vytváření seznamů ke zhlédnutí v Microsoft Sentinelu
- Předdefinovaná schémata seznamu ke zhlédnutí
- Token SAS služby Azure Storage
Seznamy ke zhlédnutí v dotazech pro vyhledávání a pravidla detekce
Dotazováním dat v libovolné tabulce na základě dat ze seznamu ke zhlédnutí považujete seznam ke zhlédnutí jako tabulku pro spojení a vyhledávání. Při vytváření seznamu ke zhlédnutí definujete SearchKey. Hledaný klíč je název sloupce v seznamu ke zhlédnutí, který očekáváte jako spojení s jinými daty nebo jako častý objekt hledání. Předpokládejme například, že máte seznam ke zhlédnutí serveru, který obsahuje názvy zemí/oblastí a jejich odpovídající dvoumísmenné kódy zemí. Očekáváte, že kódy zemí často používáte pro hledání nebo spojení. Proto jako hledaný klíč použijete sloupec kódu země.
Následující příklad dotazu spojí RemoteIPCountry
sloupec v Heartbeat
tabulce s vyhledávacím klíčem definovaným pro seznam ke zhlédnutí s názvem mywatchlist
.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
Podívejme se na některé další ukázkové dotazy.
Předpokládejme, že chcete použít seznam ke zhlédnutí v analytickém pravidlu. Vytvoříte seznam ke zhlédnutí ipwatchlist
, který obsahuje sloupce pro IPAddress
a Location
. Definujete IPAddress
ho jako SearchKey.
IPAddress,Location |
---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
Pokud chcete do seznamu ke zhlédnutí zahrnout pouze události z IP adres, můžete použít dotaz, ve kterém se seznam ke zhlédnutí používá jako proměnná nebo kde se seznam ke zhlédnutí používá v textu.
Následující příklad dotazu používá sledovací seznam jako proměnnou:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
Následující příklad dotazu používá kontrolní seznam vložený s dotazem a hledaný klíč definovaný pro seznam ke zhlédnutí.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
Další informace najdete v tématu Vytváření dotazů a pravidel detekce pomocí seznamů ke zhlédnutí v Microsoft Sentinelu.
Další kroky
Další informace o službě Microsoft Sentinel najdete v následujících článcích: