Watchlists no Microsoft Sentinel
As watchlists no Microsoft Sentinel permitem correlacionar dados de uma fonte de dados que você fornece com os eventos em seu ambiente do Microsoft Sentinel. Por exemplo, você pode criar uma watchlist com uma lista de ativos de alto valor, funcionários demitidos ou contas de serviço em seu ambiente.
Use watchlists em sua pesquisa, regras de detecção, busca de ameaças e guias estratégicos de resposta.
As watchlists são armazenadas no workspace do Microsoft Azure Sentinel como pares nome-valor e em cache para o fornecimento de um desempenho de consulta ideal e baixa latência.
Importante
Os recursos dos modelos watchlist e a capacidade de criar uma watchlist de um arquivo no Armazenamento do Microsoft Azure estão atualmente em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Quando usar o watchlists
Use as watchlists como auxílio nos seguintes cenários:
Investigar ameaças e responder a incidentes rapidamente com a imediata importação de endereços IP, hashes de arquivo e outros dados de arquivos CSV. Depois de importar os dados, use os pares nome-valor da inspeção para junções e filtros em regras de alerta, busca de ameaças, pastas de trabalho, notebooks e consultas em geral.
Importar dados empresariais como uma watchlist. Por exemplo, importe listas de usuários com acesso privilegiado ao sistema ou de funcionários demitidos. Em seguida, use a watchlist para criar listas de permitidos e listas de bloqueados a fim de detectar ou impedir que esses usuários façam logon na rede.
Reduzir o fadiga de alerta. Crie listas de permitidos para suprimir alertas de um grupo de usuários, como usuários de endereços IP autorizados que executem tarefas que normalmente disparariam o alerta. Impeça que eventos benignos se tornem alertas.
Enriquecer dados de evento. Use watchlists para enriquecer seus dados de eventos com combinações de nome-valor derivadas de fontes de dados externas.
Limitações das watchlists
Antes de criar uma watchlist, lembre-se das seguintes limitações:
- Quando você cria uma lista de observação, o nome e o alias da lista de observação devem ser de 3 a 64 caracteres. O primeiro e o último caracteres precisam ser alfanuméricos. Mas você pode incluir espaços em branco, hifens e sublinhados entre os primeiros e os últimos caracteres.
- O uso de watchlists deve ser limitado a dados de referência, pois elas não são projetadas para grandes volumes de dados.
- O número total de itens da watchlist ativos em todas as watchlists de um único espaço de trabalho está atualmente limitado a 10 milhões. Os itens de watchlist excluídos não estão incluídos nesse total. Se você precisar da capacidade de fazer referência a grandes volumes de dados, considere ingeri-los usando logs personalizados.
- As watchlists são atualizadas em seu workspace a cada 12 dias, atualizando o campo
TimeGenerated
. - Não há suporte para o uso de Lighthouse para gerenciar watchlists em diferentes workspaces no momento.
- Atualmente, os carregamentos de arquivos locais estão restritos a arquivos de até 3,8 MB de tamanho.
- Os carregamentos de arquivos de uma conta do Armazenamento do Azure (em versão prévia) estão atualmente limitados a arquivos de até 500 MB de tamanho.
- As watchlists devem seguir as mesmas restrições de coluna e tabela que as entidades KQL. Para obter mais informações, confira Nomes de entidade de KQL.
Opções para criar watchlists
Crie uma watchlist no Microsoft Sentinel a partir de um arquivo que você carrega de uma pasta local ou de um arquivo em sua conta do Armazenamento do Azure.
Você tem a opção de baixar um dos modelos de watchlist do Microsoft Sentinel para preencher com seus dados. Em seguida, carregue esse arquivo quando você criar a watchlist no Microsoft Sentinel.
Para criar uma watchlist de um arquivo grande que tenha até 500 MB de tamanho, carregue o arquivo na sua conta de Armazenamento do Azure. Em seguida, crie uma URL de assinatura de acesso compartilhado para o Microsoft Sentinel recuperar os dados da watchlist. Uma URL de assinatura de acesso compartilhado é um URI que contém o URI de recurso e o token de assinatura de acesso compartilhado de um recurso, como um arquivo csv, na sua conta de armazenamento. Por fim, adicione o watchlist ao seu espaço de trabalho no Microsoft Sentinel.
Para obter mais informações, consulte os seguintes artigos:
- Criar watchlists no Microsoft Sentinel
- Esquemas de watchlist internos
- Token SAS do Armazenamento do Azure
Watchlists em consultas de pesquisas e regras de detecção
Consulte dados em qualquer tabela comparando-os a dados de uma watchlist, tratando a watchlist como uma tabela para junções e pesquisas. Ao criar uma watchlist, você define a SearchKey. O termo de pesquisa é o nome de uma coluna em sua watchlist que você espera usar como uma junção com outros dados ou como um objeto frequente de pesquisas. Por exemplo, suponha que você tenha uma lista de observação de servidor que contenha nomes de países/regiões e seus respectivos códigos de país/região com duas letras. Você espera usar os códigos de país frequentemente para pesquisa ou junções. Portanto, você usa a coluna de código do país como o termo de pesquisa.
A consulta de exemplo a seguir une a coluna RemoteIPCountry
na tabela Heartbeat
com o termo de pesquisa definido para a watchlist chamada mywatchlist
.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
Vejamos algumas outras consultas de exemplo.
Suponha que você deseja usar uma watchlist em uma regra de análise. Você cria uma watchlist chamada ipwatchlist
que inclui colunas para IPAddress
e Location
. Você define IPAddress
como SearchKey.
IPAddress,Location |
---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
Para incluir apenas os eventos de endereços IP na watchlist, você pode usar uma consulta em que a watchlist é usada como uma variável ou onde a watchlist é usada embutida.
A seguinte consulta de exemplo usa a watchlist como uma variável:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
A consulta de exemplo a seguir usa a watchlist embutida com a consulta e o termo de pesquisa definidos para a watchlist.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
Para obter mais informações, confira Criar consultas e regras de detecção com watchlists no Microsoft Sentinel.
Próximas etapas
Para saber mais sobre o Microsoft Sentinel, confira os artigos a seguir:
- Criar watchlists
- Criar consultas e regras de detecção com watchlists
- Gerenciar watchlists
- Saiba como obter visibilidade dos seus dados e de possíveis ameaças.
- Comece a detectar ameaças com o Microsoft Sentinel.
- Use pastas de trabalho para monitorar seus dados.