Compartir a través de

Cree consultas o reglas de detección con listas de seguimiento en Microsoft Sentinel

  • Artículo
  • Se aplica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Consulte los datos de cualquier tabla comparándolos con los datos de una lista de reproducción tratando a esta última como una tabla de combinaciones y búsquedas. Cuando crea una lista de seguimiento, debe definir la SearchKey. La clave de búsqueda es el nombre de una columna en la lista de seguimiento que espera usar como combinación con otros datos o como objeto frecuente de búsquedas.

Para un rendimiento óptimo de las consultas, utilice SearchKey como clave para las uniones en sus consultas.

Importante

Microsoft Sentinel está disponible de forma general dentro de la plataforma unificada de operaciones de seguridad de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Cree consultas con listas de seguimiento

Para usar una lista de seguimiento en una consulta de búsqueda, escriba una consulta de Kusto que use la función _GetWatchlist('watchlist-name') y use SearchKey como clave para la combinación.

  1. Para Microsoft Sentinel en Azure portal, en Configuración, seleccione Lista de control.
    Para Microsoft Sentinel en el Portal de Defender, seleccione Microsoft Sentinel>Configuración>Lista de control.

  2. Seleccione la lista de seguimiento que desea usar.

  3. Seleccione Ver en registros.

    Captura de pantalla que muestra cómo usar listas de reproducción en consultas.

  4. Revise la pestaña Resultados. Los elementos de su lista de seguimiento se extraen automáticamente para la consulta.

    En el ejemplo siguiente se muestran los resultados de la extracción de los campos Nombre y dirección IP. SearchKey se muestra como su propia columna.

    Captura de pantalla que muestra las consultas con campos de lista de reproducción.

    La marca de tiempo en las consultas se omitirá tanto en la UI de la consulta como en las alertas programadas.

  5. Escriba una consulta que use la función _GetWatchlist('watchlist-name') y use SearchKey como clave para la combinación.

    Por ejemplo, la siguiente consulta de ejemplo une la columna RemoteIPCountry de la tabla Heartbeat con la clave de búsqueda definida para la lista de control denominada mywatchlist.

    Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist') 
 on $left.RemoteIPCountry == $right.SearchKey

    En la imagen siguiente se muestran los resultados de esta consulta de ejemplo en Log Analytics.

    Captura de pantalla de las consultas en la lista de reproducción como búsqueda

Cree una regla de análisis con una lista de seguimiento

Para usar listas de seguimiento en reglas de análisis, cree una regla mediante la función _GetWatchlist('watchlist-name') de la consulta.

  1. En Configuración, seleccione Analytics.

  2. Seleccione Crear y el tipo de regla que quiere crear.

  3. En la pestaña General, escriba la información adecuada.

  4. En la pestaña Establecer lógica de regla, en Consulta de regla, use la función _GetWatchlist('<watchlist>') en la consulta.

    Por ejemplo, supongamos que tiene una lista de control llamada ipwatchlist creada a partir de un archivo CSV con los siguientes valores:

    IPAddress,Location
    10.0.100.11,Home
    172.16.107.23,Work
    10.0.150.39,Home
    172.20.32.117,Work

    El archivo CSV tiene un aspecto similar al de la imagen siguiente. Captura de pantalla de cuatro elementos en un archivo CSV que se usa para la lista de reproducción.

    Para usar la _GetWatchlist función para este ejemplo, su consulta sería _GetWatchlist('ipwatchlist').

    Captura de pantalla que muestra que la consulta devuelve los cuatro elementos de la lista de reproducción.

    En este ejemplo, solo se incluyen eventos de direcciones IP en la lista de reproducción:

    //Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)

    En la consulta de ejemplo siguiente se usa la lista de seguimiento en línea con la consulta y la clave de búsqueda definida para la lista de seguimiento.

    //Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in ( 
    (_GetWatchlist('ipwatchlist')
    | project SearchKey)
)

    En la imagen siguiente se muestra esta última consulta usada en la consulta de regla.

    Captura de pantalla que muestra cómo usar listas de reproducción en reglas de análisis.

  5. Complete el resto de las pestañas en el asistente para reglas de Analytics.

Las listas de seguimiento se actualizan en el área de trabajo cada 12 días, actualizando el campo TimeGenerated. Para más información, consulte Creación de reglas de análisis personalizadas para detectar amenazas.

Visualización de la lista de alias de listas de seguimiento

Es posible que tenga que ver una lista de alias de lista de seguimiento para identificar una lista de seguimiento que se va a usar en una consulta o regla de análisis.

  1. Para Microsoft Sentinel en Azure Portal, en General, seleccione Registros.
    En el Portal de Defender, seleccione Investigación y respuesta>Búsqueda>Búsqueda avanzada.

  2. En la página Nueva consulta, ejecute la consulta siguiente: _GetWatchlistAlias.

  3. Revise la lista de alias en la pestaña Resultados.

    Captura de pantalla que muestra una lista de listas de reproducción.

Contenido relacionado

En este documento, ha aprendido a utilizar las listas de reproducción en Microsoft Sentinel para enriquecer los datos y mejorar las investigaciones. Para más información sobre Microsoft Sentinel, consulte los siguientes artículos: