Tworzenie zapytań lub reguł wykrywania za pomocą list obserwowanych w usłudze Microsoft Sentinel
Wykonywanie zapytań dotyczących danych w dowolnej tabeli względem danych z listy obserwowanych przez traktowanie listy obserwowanych jako tabeli dla sprzężeń i odnośników. Podczas tworzenia listy do obejrzenia należy zdefiniować wartość SearchKey. Klucz wyszukiwania to nazwa kolumny na liście obserwowanych, która ma być używana jako sprzężenie z innymi danymi lub częstym obiektem wyszukiwania.
Aby uzyskać optymalną wydajność zapytań, użyj SearchKey jako klucza do sprzężeń w zapytaniach.
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Tworzenie zapytań za pomocą list obserwowanych
Aby użyć listy do obejrzenia w zapytaniu wyszukiwania, napisz zapytanie Kusto, które używa funkcji _GetWatchlist('watchlist-name') i używa SearchKey jako klucza sprzężenia.
W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Konfiguracja wybierz pozycję Lista obserwowana.
W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Lista obserwowanych konfiguracji>usługi Microsoft Sentinel.>Wybierz listę do obejrzenia, której chcesz użyć.
Wybierz pozycję Wyświetl w dziennikach.
Przejrzyj kartę Wyniki . Elementy na liście obserwowanych są automatycznie wyodrębniane dla zapytania.
W poniższym przykładzie przedstawiono wyniki wyodrębniania pól Nazwa i Adres IP. Klucz wyszukiwania jest wyświetlany jako własna kolumna.
Sygnatura czasowa zapytań zostanie zignorowana zarówno w interfejsie użytkownika zapytania, jak i w zaplanowanych alertach.
Napisz zapytanie, które używa funkcji _GetWatchlist('watchlist-name') i używa SearchKey jako klucza sprzężenia.
Na przykład następujące przykładowe zapytanie łączy kolumnę
RemoteIPCountry
wHeartbeat
tabeli z kluczem wyszukiwania zdefiniowanym dla listy obserwowanej o nazwiemywatchlist
.Heartbeat | lookup kind=leftouter _GetWatchlist('mywatchlist') on $left.RemoteIPCountry == $right.SearchKey
Na poniższej ilustracji przedstawiono wyniki tego przykładowego zapytania w usłudze Log Analytics.
Tworzenie reguły analizy z listą obserwowaną
Aby użyć list do obejrzenia w regułach analizy, utwórz regułę przy użyciu funkcji _GetWatchlist('watchlist-name') w zapytaniu.
W obszarze Konfiguracja wybierz pozycję Analiza.
Wybierz pozycję Utwórz i typ reguły, którą chcesz utworzyć.
Na karcie Ogólne wprowadź odpowiednie informacje.
Na karcie Ustaw logikę reguły w obszarze Zapytanie reguły użyj
_GetWatchlist('<watchlist>')
funkcji w zapytaniu.Załóżmy na przykład, że masz listę obserwowaną o nazwie
ipwatchlist
utworzoną na podstawie pliku CSV z następującymi wartościami:IPAddress,Location
10.0.100.11,Home
172.16.107.23,Work
10.0.150.39,Home
172.20.32.117,Work
Plik CSV wygląda podobnie do poniższej ilustracji.
Aby użyć funkcji w tym przykładzie
_GetWatchlist
, zapytanie będzie następujące_GetWatchlist('ipwatchlist')
: .W tym przykładzie uwzględniamy tylko zdarzenia z adresów IP na liście obserwowanych:
//Watchlist as a variable let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress); Heartbeat | where ComputerIP in (watchlist)
Poniższe przykładowe zapytanie używa wbudowanej listy kontrolnej z zapytaniem i kluczem wyszukiwania zdefiniowanym dla listy obserwowanych.
//Watchlist inline with the query //Use SearchKey for the best performance Heartbeat | where ComputerIP in ( (_GetWatchlist('ipwatchlist') | project SearchKey) )
Na poniższej ilustracji przedstawiono to ostatnie zapytanie używane w zapytaniu reguły.
Ukończ pozostałe karty w kreatorze reguł analizy.
Listy do obejrzenia są odświeżane w obszarze roboczym co 12 dni, aktualizując TimeGenerated
pole. Aby uzyskać więcej informacji, zobacz Tworzenie niestandardowych reguł analizy w celu wykrywania zagrożeń.
Wyświetlanie listy aliasów listy obserwowanych
Może być konieczne wyświetlenie listy aliasów listy obserwowanych, aby zidentyfikować listę obserwowanych do użycia w regule zapytania lub analizy.
W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Ogólne wybierz pozycję Dzienniki.
W portalu usługi Defender wybierz pozycję Badanie i wyszukiwanie odpowiedzi Zaawansowane>wyszukiwanie zagrożeń.>Na stronie Nowe zapytanie uruchom następujące zapytanie:
_GetWatchlistAlias
.Przejrzyj listę aliasów na karcie Wyniki .
Powiązana zawartość
W tym dokumencie przedstawiono sposób używania list do obejrzenia w usłudze Microsoft Sentinel w celu wzbogacania danych i ulepszania badań. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły: