Freigeben über


Watchlists in Microsoft Sentinel

Mit Watchlists in Microsoft Sentinel können Sie Daten aus einer Datenquelle korrelieren, die Sie mit den Ereignissen in Ihrer Microsoft Sentinel-Umgebung bereitstellen. Beispielsweise können Sie eine Watchlist mit einer Liste von hochwertigen Ressourcen, gekündigten Mitarbeitern oder Dienstkonten in Ihrer Umgebung erstellen.

Sie können Watchlists in Ihrer Suche, für Erkennungsregeln, bei der Bedrohungssuche sowie in Reaktionsplaybooks verwenden.

Watchlists werden in Ihrem Microsoft Sentinel-Arbeitsbereich in der Tabelle Watchlist als Name-Wert-Paare gespeichert und für eine optimale Abfrageleistung und geringe Latenz zwischengespeichert.

Wichtig

Die Features für Watchlistvorlagen und die Möglichkeit zum Erstellen einer Watchlist aus einer Datei in Azure Storage befinden sich derzeit in der VORSCHAUPHASE. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Verwendung von Watchlists

Verwenden Sie Watchlists zur Unterstützung in folgenden Szenarien:

  • Untersuchen von Bedrohungen und schnelles Reagieren auf Incidents, indem IP-Adressen, Dateihashes und andere Daten schnell aus CSV-Dateien importiert werden. Nach dem Importieren der Daten können Sie Name-Wert-Paare der Watchlist zum Verknüpfen und Filtern in Warnungsregeln, bei der Bedrohungssuche, in Arbeitsmappen, in Notebooks und für allgemeine Abfragen verwenden.

  • Importieren von Geschäftsdaten als Watchlist. Importieren Sie beispielsweise Listen von Benutzern mit privilegiertem Systemzugriff oder gekündigten Mitarbeitern. Verwenden Sie dann die Watchlist, um Positivlisten und Sperrlisten zu erstellen, um diese Benutzer bei der Anmeldung beim Netzwerk zu erkennen oder sie daran zu hindern.

  • Reduzieren der Warnungsmüdigkeit. Erstellen Sie Positivlisten, um auf eine Gruppe von Benutzern bezogene Warnungen zu unterdrücken (z. B. Benutzer von autorisierten IP-Adressen, die Aufgaben ausführen, durch die normalerweise die Warnung ausgelöst würde). Verhindern Sie, dass unbedenkliche Ereignisse Warnungen auslösen.

  • Anreichern von Ereignisdaten. Verwenden Sie Watchlists, um Ihre Ereignisdaten mit Name-Wert-Kombinationen zu erweitern, die aus externen Datenquellen stammen.

Einschränkungen von Watchlists

Beachten Sie vor dem Erstellen einer Watchlist die folgenden Einschränkungen:

  • Wenn Sie eine Watchlist erstellen, müssen der Name und der Alias der Watchlist zwischen 3 und 64 Zeichen lang sein. Das erste und das letzte Zeichen müssen alphanumerisch sein. Sie können aber Leerzeichen, Bindestriche und Unterstriche zwischen den ersten und letzten Zeichen einschließen.
  • Die Verwendung von Watchlists sollte auf Verweisdaten beschränkt werden, da sie nicht für große Datenvolumen konzipiert sind.
  • Die Gesamtzahl der aktiven Watchlistelemente in allen Watchlists in einem einzelnen Arbeitsbereich ist derzeit auf 10 Millionen beschränkt. Gelöschte Watchlistelemente werden auf diese Summe nicht angerechnet. Wenn Sie die Möglichkeit benötigen, auf große Datenvolumen zu verweisen, erwägen Sie stattdessen die Erfassung dieser Daten mithilfe benutzerdefinierter Protokolle.
  • Watchlists werden alle 12 Tage in Ihrem Arbeitsbereich aktualisiert und das TimeGenerated Feld aktualisiert.
  • Die Verwendung von Lighthouse zum Verwalten von Watchlists in verschiedenen Arbeitsbereichen wird derzeit nicht unterstützt.
  • Lokale Dateiuploads sind aktuell auf Dateien mit einer Größe von bis zu 3,8 MB beschränkt.
  • Dateiuploads aus einem Azure Storage-Konto (in der Vorschauphase) sind derzeit auf Dateien mit einer Größe von bis zu 500 MB beschränkt.
  • Watchlists müssen dieselben Spalten- und Tabelleneinschränkungen wie KQL-Entitäten einhalten. Weitere Informationen finden Sie unter KQL-Entitätsnamen.

Optionen zum Erstellen von Watchlists

Erstellen einer Watchlist in Microsoft Sentinel aus einer Datei, die Sie aus einem lokalen Ordner oder aus einer Datei in Ihrem Azure Storage-Konto hochladen.

Sie haben die Möglichkeit, eine der Watchlistvorlagen von Microsoft Sentinel herunterzuladen, um sie mit Ihren Daten aufzufüllen. Laden Sie diese Datei dann hoch, wenn Sie die Watchlist in Microsoft Sentinel erstellen.

Um eine Watchlist aus einer großen Datei mit einer Größe von bis zu 500 MB zu erstellen, laden Sie die Datei in Ihr Azure Storage-Konto hoch. Erstellen Sie dann eine SAS-URL (Shared Access Signature), über die Microsoft Sentinel die Watchlistdaten abrufen kann. Eine SAS-URL (Shared Access Signature) ist ein URI, der sowohl den Ressourcen-URI als auch das Shared Access Signature-Token einer Ressource wie einer CSV-Datei in Ihrem Speicherkonto enthält. Fügen Sie schließlich die Watchlist Ihrem Arbeitsbereich in Microsoft Sentinel hinzu.

Weitere Informationen finden Sie in den folgenden Artikeln:

Watchlists in Abfragen für Suchen und Erkennungsregeln

Um Ihre Watchlistdaten mit anderen Microsoft Sentinel-Daten zu korrelieren, verwenden Sie tabellarische Kusto-Operatoren wie join und lookup mit der Tabelle Watchlist. Microsoft Sentinel erstellt zwei Funktionen im Arbeitsbereich, um Ihre Watchlists zu referenzieren und abzufragen.

  • _GetWatchlistAlias: gibt einfach die Aliase aller Ihrer Watchlists zurück
  • _GetWatchlist: fragt die Name-Wert-Paare der angegebenen Watchlist ab

Wenn Sie eine Watchlist erstellen, definieren Sie den SearchKey. Der Suchschlüssel ist der Name einer Spalte in Ihrer Watchlist, die Sie als Verknüpfung (Join) mit anderen Daten oder als häufiges Suchobjekt verwenden möchten. Angenommen, Sie verfügen über eine Serverwatchlist, die Länder-/Regionsnamen und die jeweiligen aus zwei Buchstaben bestehenden Ländercodes enthält. Sie gehen davon aus, dass Sie die Landeskennzahlen häufig für Suchen oder Verknüpfungen verwenden. Also verwenden Sie die Ländercodespalte als Suchschlüssel.

Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist') 
  on $left.RemoteIPCountry == $right.SearchKey

Betrachten Sie einige weitere Beispielabfragen.

Angenommen, Sie möchten eine Watchlist in einer Analyseregel verwenden. Sie erstellen eine Watchlist namens ipwatchlist, die die Spalten für IPAddress und Location enthält. Sie definieren IPAddress als SearchKey-.

IPAddress,Location
10.0.100.11,Home
172.16.107.23,Work
10.0.150.39,Home
172.20.32.117,Work

Wenn Sie nur Ereignisse von IP-Adressen in die Watchlist einbeziehen möchten, können Sie eine Abfrage verwenden, bei der watchlist als Variable oder inline verwendet wird.

In der folgenden Beispielabfrage wird die Watchlist als Variable verwendet:

  //Watchlist as a variable
  let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
  Heartbeat
  | where ComputerIP in (watchlist)

Die folgende Beispielabfrage verwendet die Watchlist inline mit der Abfrage und dem Suchschlüssel, der für die Watchlist definiert ist.

  //Watchlist inline with the query
  //Use SearchKey for the best performance
  Heartbeat
  | where ComputerIP in ( 
      (_GetWatchlist('ipwatchlist')
      | project SearchKey)
  )

Weitere Informationen finden Sie unter Erstellen von Abfragen und Erkennungsregeln mit Watchlists in Microsoft Sentinel.

Weitere Informationen zu den folgenden in den vorherigen Beispielen verwendeten Elementen finden Sie in der Kusto-Dokumentation:

Weitere Informationen zu KQL finden Sie unter Kusto-Abfragesprache (Kusto Query Language, KQL) – Übersicht.

Weitere Ressourcen:

Nächste Schritte

Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln: