Sdílet prostřednictvím

Vytváření dotazů nebo pravidel detekce pomocí seznamů ke zhlédnutí v Microsoft Sentinelu

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Dotazováním dat v libovolné tabulce na základě dat ze seznamu ke zhlédnutí považujete seznam ke zhlédnutí jako tabulku pro spojení a vyhledávání. Při vytváření seznamu ke zhlédnutí definujete SearchKey. Hledaný klíč je název sloupce v seznamu ke zhlédnutí, který očekáváte jako spojení s jinými daty nebo jako častý objekt hledání.

Pro zajištění optimálního výkonu dotazů použijte SearchKey jako klíč pro spojení v dotazech.

Důležité

Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Vytváření dotazů pomocí seznamů ke zhlédnutí

Pokud chcete ve vyhledávacím dotazu použít seznam ke zhlédnutí, napište dotaz Kusto, který používá funkci _GetWatchlist('watchlist-name') a jako klíč pro vaše spojení používá SearchKey .

  1. Pro Microsoft Sentinel na webu Azure Portal v části Konfigurace vyberte Seznam ke zhlédnutí.
    Pro Microsoft Sentinel na portálu Defender vyberte seznam ke zhlédnutí konfigurace>Služby Microsoft Sentinel>.

  2. Vyberte seznam ke zhlédnutí, který chcete použít.

  3. Vyberte Zobrazit v protokolech.

    Snímek obrazovky, který ukazuje, jak používat seznamy ke zhlédnutí v dotazech

  4. Zkontrolujte kartu Výsledky. Položky v seznamu ke zhlédnutí se automaticky extrahují pro váš dotaz.

    Následující příklad ukazuje výsledky extrakce polí Název a IP adresa . SearchKey se zobrazí jako vlastní sloupec.

    Snímek obrazovky znázorňující dotazy s poli seznamu ke zhlédnutí

    Časové razítko vašich dotazů se bude ignorovat v uživatelském rozhraní dotazu i v plánovaných upozorněních.

  5. Napište dotaz, který používá funkci _GetWatchlist('watchlist-name') a jako klíč pro vaše spojení používá SearchKey .

    Například následující příklad dotazu spojí RemoteIPCountry sloupec v Heartbeat tabulce s vyhledávacím klíčem definovaným pro seznam ke zhlédnutí s názvem mywatchlist.

    Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist') 
 on $left.RemoteIPCountry == $right.SearchKey

    Následující obrázek ukazuje výsledky tohoto ukázkového dotazu v Log Analytics.

    Snímek obrazovky s dotazy na seznam ke zhlédnutí jako vyhledávání

Vytvoření analytického pravidla pomocí seznamu ke zhlédnutí

Pokud chcete použít seznamy ke zhlédnutí v analytických pravidlech, vytvořte pravidlo pomocí funkce _GetWatchlist('watchlist-name') v dotazu.

  1. V části Konfigurace vyberte Analýza.

  2. Vyberte Vytvořit a typ pravidla, které chcete vytvořit.

  3. Na kartě Obecné zadejte příslušné informace.

  4. Na kartě Nastavit logiku pravidla použijte _GetWatchlist('<watchlist>') v části Dotaz pravidla funkci v dotazu.

    Řekněme například, že máte seznam ke zhlédnutí ipwatchlist , který jste vytvořili ze souboru CSV s následujícími hodnotami:

    IPAddress,Location
    10.0.100.11,Home
    172.16.107.23,Work
    10.0.150.39,Home
    172.20.32.117,Work

    Soubor CSV vypadá přibližně jako na následujícím obrázku. Snímek obrazovky se čtyřmi položkami v souboru CSV, který se používá pro seznam ke zhlédnutí

    Pro použití funkce v tomto příkladu _GetWatchlist by váš dotaz byl _GetWatchlist('ipwatchlist').

    Snímek obrazovky znázorňující dotaz vrátí čtyři položky ze seznamu ke zhlédnutí

    V tomto příkladu do seznamu ke zhlédnutí zahrneme pouze události z IP adres:

    //Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)

    Následující příklad dotazu používá kontrolní seznam vložený s dotazem a hledaný klíč definovaný pro seznam ke zhlédnutí.

    //Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in ( 
    (_GetWatchlist('ipwatchlist')
    | project SearchKey)
)

    Následující obrázek ukazuje poslední dotaz použitý v dotazu pravidla.

    Snímek obrazovky, který ukazuje, jak používat seznamy ke zhlédnutí v analytických pravidlech

  5. Dokončete zbývající karty v průvodci analytickým pravidlem.

Seznamy ke zhlédnutí se aktualizují v pracovním prostoru každých 12 dnů a aktualizují TimeGenerated se pole. Další informace najdete v tématu Vytvoření vlastních analytických pravidel pro detekci hrozeb.

Zobrazení seznamu aliasů seznamu ke zhlédnutí

Možná budete muset zobrazit seznam aliasů seznamu ke zhlédnutí, abyste identifikovali seznam ke zhlédnutí, který se má použít v dotazu nebo analytickém pravidle.

  1. Pro Microsoft Sentinel na webu Azure Portal v části Obecné vyberte Protokoly.
    Na portálu Defender vyberte Prošetření a proaktivní vyhledávání proaktivního vyhledávání> odpovědí.>

  2. Na stránce Nový dotaz spusťte následující dotaz: _GetWatchlistAlias.

  3. Zkontrolujte seznam aliasů na kartě Výsledky .

    Snímek obrazovky se seznamem seznamů ke zhlédnutí

Související obsah

V tomto dokumentu jste zjistili, jak pomocí seznamů ke zhlédnutí v Microsoft Sentinelu rozšířit data a zlepšit šetření. Další informace o službě Microsoft Sentinel najdete v následujících článcích: