Udostępnij za pośrednictwem


Listy do obejrzenia w usłudze Microsoft Sentinel

Listy do obejrzenia w usłudze Microsoft Sentinel umożliwiają skorelowanie danych ze źródła danych, które udostępniasz zdarzenia w środowisku usługi Microsoft Sentinel. Możesz na przykład utworzyć listę obserwowanych z listą zasobów o wysokiej wartości, zakończonymi pracownikami lub kontami usług w danym środowisku.

Użyj list do obejrzenia w podręcznikach wyszukiwania, reguł wykrywania, wyszukiwania zagrożeń i podręczników reagowania.

Listy kontrolne są przechowywane w obszarze roboczym usługi Microsoft Sentinel jako pary nazwa-wartość i są buforowane w celu uzyskania optymalnej wydajności zapytań i małych opóźnień.

Ważne

Funkcje szablonów listy obserwowanych i możliwość tworzenia listy obserwowanych na podstawie pliku w usłudze Azure Storage są obecnie dostępne w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Kiedy należy używać list do obejrzenia

Użyj list do obejrzenia, aby ułatwić korzystanie z następujących scenariuszy:

  • Szybkie badanie zagrożeń i reagowanie na zdarzenia dzięki szybkiemu importowaniu adresów IP, skrótów plików i innych danych z plików CSV. Po zaimportowaniu danych użyj par nazwa-wartość listy obserwowanych dla sprzężeń i filtrów w regułach alertów, wyszukiwaniu zagrożeń, skoroszytach, notesach i ogólnych zapytaniach.

  • Zaimportuj dane biznesowe jako listę obserwowaną. Na przykład zaimportuj listy użytkowników z uprzywilejowanym dostępem systemu lub przerwanymi pracownikami. Następnie użyj listy do obejrzenia, aby utworzyć listy dozwolonych i listy zablokowanych, aby wykryć lub uniemożliwić tym użytkownikom logowanie się do sieci.

  • Zmniejsz zmęczenie alertami. Utwórz listy dozwolonych, aby pomijać alerty z grupy użytkowników, takich jak użytkownicy z autoryzowanych adresów IP, które wykonują zadania, które zwykle wyzwalają alert. Zapobiegaj utracie alertów zdarzeń o łagodnym stanie się alertami.

  • Wzbogacanie danych zdarzeń. Użyj list kontrolnych, aby wzbogacić dane zdarzenia o kombinacje nazwa-wartość pochodzące z zewnętrznych źródeł danych.

Ograniczenia list obserwowanych

Przed utworzeniem listy do obejrzenia należy pamiętać o następujących ograniczeniach:

  • Podczas tworzenia listy do obejrzenia nazwa listy obserwowanych i alias muszą zawierać od 3 do 64 znaków. Pierwsze i ostatnie znaki muszą być alfanumeryczne. Można jednak uwzględnić odstępy, łączniki i podkreślenia między pierwszym i ostatnimi znakami.
  • Korzystanie z list obserwowanych powinno być ograniczone do danych referencyjnych, ponieważ nie są one przeznaczone dla dużych ilości danych.
  • Całkowita liczba aktywnych elementów listy obserwowanych na wszystkich listach obserwowanych w jednym obszarze roboczym jest obecnie ograniczona do 10 milionów. Usunięte elementy listy obserwowanych nie są liczone względem tej sumy. Jeśli potrzebujesz możliwości odwołowania się do dużych woluminów danych, rozważ ich pozyskiwanie przy użyciu dzienników niestandardowych.
  • Listy do obejrzenia są odświeżane w obszarze roboczym co 12 dni, aktualizując TimeGenerated pole.
  • Używanie usługi Lighthouse do zarządzania listami do obejrzenia w różnych obszarach roboczych nie jest obecnie obsługiwane.
  • Przekazywanie plików lokalnych jest obecnie ograniczone do plików o rozmiarze do 3,8 MB.
  • Przekazywanie plików z konta usługi Azure Storage (w wersji zapoznawczej) jest obecnie ograniczone do plików o rozmiarze do 500 MB.
  • Listy kontrolne muszą być zgodne z tymi samymi ograniczeniami kolumn i tabel co jednostki KQL. Aby uzyskać więcej informacji, zobacz Nazwy jednostek KQL.

Opcje tworzenia list do obejrzenia

Utwórz listę obserwowanych w usłudze Microsoft Sentinel na podstawie pliku przekazanego z folderu lokalnego lub z pliku na koncie usługi Azure Storage.

Możesz pobrać jeden z szablonów listy obserwowanych z usługi Microsoft Sentinel, aby wypełnić dane. Następnie przekaż ten plik podczas tworzenia listy do obejrzenia w usłudze Microsoft Sentinel.

Aby utworzyć listę obserwowanych na podstawie dużego pliku o rozmiarze do 500 MB, przekaż plik na konto usługi Azure Storage. Następnie utwórz adres URL sygnatury dostępu współdzielonego dla usługi Microsoft Sentinel, aby pobrać dane listy obserwowanych. Adres URL sygnatury dostępu współdzielonego to identyfikator URI, który zawiera zarówno identyfikator URI zasobu, jak i token sygnatury dostępu współdzielonego zasobu, taki jak plik CSV na koncie magazynu. Na koniec dodaj listę obserwowanych do obszaru roboczego w usłudze Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz następujące artykuły:

Listy obserwowanych w zapytaniach dotyczących reguł wyszukiwania i wykrywania

Wykonywanie zapytań dotyczących danych w dowolnej tabeli względem danych z listy obserwowanych przez traktowanie listy obserwowanych jako tabeli dla sprzężeń i odnośników. Podczas tworzenia listy do obejrzenia należy zdefiniować wartość SearchKey. Klucz wyszukiwania to nazwa kolumny na liście obserwowanych, która ma być używana jako sprzężenie z innymi danymi lub częstym obiektem wyszukiwania. Załóżmy na przykład, że masz listę do obejrzenia serwera zawierającą nazwy kraju/regionu i odpowiednie dwuliterowe kody kraju. Oczekujesz, że kody krajów często będą używane do wyszukiwania lub sprzężenia. Dlatego użyjesz kolumny kodów kraju jako klucza wyszukiwania.

Poniższe przykładowe zapytanie łączy kolumnę RemoteIPCountry w Heartbeat tabeli z kluczem wyszukiwania zdefiniowanym dla listy obserwowanej o nazwie mywatchlist.

   Heartbeat
  | lookup kind=leftouter _GetWatchlist('mywatchlist') 
   on $left.RemoteIPCountry == $right.SearchKey

Przyjrzyjmy się innym przykładowym zapytaniom.

Załóżmy, że chcesz użyć listy do obejrzenia w regule analizy. Utworzysz listę do obejrzenia o nazwie ipwatchlist zawierającą kolumny dla IPAddress i Location. Należy zdefiniować IPAddress jako klucz wyszukiwania.

IPAddress,Location
10.0.100.11,Home
172.16.107.23,Work
10.0.150.39,Home
172.20.32.117,Work

Aby uwzględnić tylko zdarzenia z adresów IP na liście obserwowanych, możesz użyć zapytania, w którym lista obserwowana jest używana jako zmienna lub gdzie lista obserwowana jest używana w tekście.

Poniższe przykładowe zapytanie używa listy obserwowanych jako zmiennej:

  //Watchlist as a variable
  let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
  Heartbeat
  | where ComputerIP in (watchlist)

Poniższe przykładowe zapytanie używa wbudowanej listy kontrolnej z zapytaniem i kluczem wyszukiwania zdefiniowanym dla listy obserwowanych.

  //Watchlist inline with the query
  //Use SearchKey for the best performance
  Heartbeat
  | where ComputerIP in ( 
      (_GetWatchlist('ipwatchlist')
      | project SearchKey)
  )

Aby uzyskać więcej informacji, zobacz Tworzenie zapytań i reguł wykrywania za pomocą list do obejrzenia w usłudze Microsoft Sentinel.

Następne kroki

Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły: