Udostępnij za pośrednictwem


Tworzenie zapytań lub reguł wykrywania za pomocą list obserwowanych w usłudze Microsoft Sentinel

Wykonywanie zapytań dotyczących danych w dowolnej tabeli względem danych z listy obserwowanych przez traktowanie listy obserwowanych jako tabeli dla sprzężeń i odnośników. Podczas tworzenia listy do obejrzenia należy zdefiniować wartość SearchKey. Klucz wyszukiwania to nazwa kolumny na liście obserwowanych, która ma być używana jako sprzężenie z innymi danymi lub częstym obiektem wyszukiwania.

Aby uzyskać optymalną wydajność zapytań, użyj SearchKey jako klucza do sprzężeń w zapytaniach.

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Tworzenie zapytań za pomocą list obserwowanych

Aby użyć listy do obejrzenia w zapytaniu wyszukiwania, napisz zapytanie Kusto, które używa funkcji _GetWatchlist('watchlist-name') i używa SearchKey jako klucza sprzężenia.

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Konfiguracja wybierz pozycję Lista obserwowana.
    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Lista obserwowanych konfiguracji>usługi Microsoft Sentinel.>

  2. Wybierz listę do obejrzenia, której chcesz użyć.

  3. Wybierz pozycję Wyświetl w dziennikach.

    Zrzut ekranu przedstawiający sposób używania list obserwowanych w zapytaniach.

  4. Przejrzyj kartę Wyniki . Elementy na liście obserwowanych są automatycznie wyodrębniane dla zapytania.

    W poniższym przykładzie przedstawiono wyniki wyodrębniania pól Nazwa i Adres IP. Klucz wyszukiwania jest wyświetlany jako własna kolumna.

    Zrzut ekranu przedstawiający zapytania z polami listy obserwowanych.

    Sygnatura czasowa zapytań zostanie zignorowana zarówno w interfejsie użytkownika zapytania, jak i w zaplanowanych alertach.

  5. Napisz zapytanie, które używa funkcji _GetWatchlist('watchlist-name') i używa SearchKey jako klucza sprzężenia.

    Na przykład następujące przykładowe zapytanie łączy kolumnę RemoteIPCountry w Heartbeat tabeli z kluczem wyszukiwania zdefiniowanym dla listy obserwowanej o nazwie mywatchlist.

    Heartbeat
    | lookup kind=leftouter _GetWatchlist('mywatchlist') 
     on $left.RemoteIPCountry == $right.SearchKey
    

    Na poniższej ilustracji przedstawiono wyniki tego przykładowego zapytania w usłudze Log Analytics.

    Zrzut ekranu przedstawiający zapytania względem listy obserwowanych jako odnośnik.

Tworzenie reguły analizy z listą obserwowaną

Aby użyć list do obejrzenia w regułach analizy, utwórz regułę przy użyciu funkcji _GetWatchlist('watchlist-name') w zapytaniu.

  1. W obszarze Konfiguracja wybierz pozycję Analiza.

  2. Wybierz pozycję Utwórz i typ reguły, którą chcesz utworzyć.

  3. Na karcie Ogólne wprowadź odpowiednie informacje.

  4. Na karcie Ustaw logikę reguły w obszarze Zapytanie reguły użyj _GetWatchlist('<watchlist>') funkcji w zapytaniu.

    Załóżmy na przykład, że masz listę obserwowaną o nazwie ipwatchlist utworzoną na podstawie pliku CSV z następującymi wartościami:

    IPAddress,Location
    10.0.100.11,Home
    172.16.107.23,Work
    10.0.150.39,Home
    172.20.32.117,Work

    Plik CSV wygląda podobnie do poniższej ilustracji. Zrzut ekranu przedstawiający cztery elementy w pliku CSV używanym do listy obserwowanych.

    Aby użyć funkcji w tym przykładzie _GetWatchlist , zapytanie będzie następujące _GetWatchlist('ipwatchlist'): .

    Zrzut ekranu przedstawiający zapytanie zwraca cztery elementy z listy obserwowanych.

    W tym przykładzie uwzględniamy tylko zdarzenia z adresów IP na liście obserwowanych:

    //Watchlist as a variable
    let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
    Heartbeat
    | where ComputerIP in (watchlist)
    

    Poniższe przykładowe zapytanie używa wbudowanej listy kontrolnej z zapytaniem i kluczem wyszukiwania zdefiniowanym dla listy obserwowanych.

    //Watchlist inline with the query
    //Use SearchKey for the best performance
    Heartbeat
    | where ComputerIP in ( 
        (_GetWatchlist('ipwatchlist')
        | project SearchKey)
    )
    

    Na poniższej ilustracji przedstawiono to ostatnie zapytanie używane w zapytaniu reguły.

    Zrzut ekranu przedstawiający sposób używania list obserwowanych w regułach analizy.

  5. Ukończ pozostałe karty w kreatorze reguł analizy.

Listy do obejrzenia są odświeżane w obszarze roboczym co 12 dni, aktualizując TimeGenerated pole. Aby uzyskać więcej informacji, zobacz Tworzenie niestandardowych reguł analizy w celu wykrywania zagrożeń.

Wyświetlanie listy aliasów listy obserwowanych

Może być konieczne wyświetlenie listy aliasów listy obserwowanych, aby zidentyfikować listę obserwowanych do użycia w regule zapytania lub analizy.

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Ogólne wybierz pozycję Dzienniki.
    W portalu usługi Defender wybierz pozycję Badanie i wyszukiwanie odpowiedzi Zaawansowane>wyszukiwanie zagrożeń.>

  2. Na stronie Nowe zapytanie uruchom następujące zapytanie: _GetWatchlistAlias.

  3. Przejrzyj listę aliasów na karcie Wyniki .

    Zrzut ekranu przedstawiający listę list obserwowanych.

W tym dokumencie przedstawiono sposób używania list do obejrzenia w usłudze Microsoft Sentinel w celu wzbogacania danych i ulepszania badań. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły: