Compartilhar via

Criar consultas ou regras de detecção com watchlists no Microsoft Sentinel

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Consulte dados em qualquer tabela comparando-os a dados de uma watchlist, tratando a watchlist como uma tabela para junções e pesquisas. Ao criar uma watchlist, você define a SearchKey. O termo de pesquisa é o nome de uma coluna em sua watchlist que você espera usar como uma junção com outros dados ou como um objeto frequente de pesquisas.

Para obter um desempenho ideal de consulta, use o SearchKey como a chave para junções em suas consultas.

Importante

O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Criar consultas com watchlists

Para usar uma watchlist na consulta de pesquisa, escreva uma consulta Kusto que usa a função _GetWatchlist('nome-da-watchlist') e usa SearchKey como a chave para sua junção.

  1. Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Watchlist.
    Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuração>Watchlist.

  2. Selecione a watchlist que você deseja usar.

  3. Selecione Exibir nos logs.

    Captura de tela que mostra como usar watchlists em consultas.

  4. Examine a guia Resultados. Os itens em sua watchlist são extraídos automaticamente para sua consulta.

    O exemplo a seguir mostra os resultados da extração dos campos Nome e Endereço IP. A SearchKey é mostrada como sua própria coluna.

    Captura de tela que mostra consultas com campos de watchlist.

    O carimbo de data/hora nas consultas será ignorado tanto na interface do usuário da consulta como nos alertas agendados.

  5. Escreva uma consulta que usa a função _GetWatchlist('nome-da-watchlist) e usa SearchKey como a chave para sua junção.

    Por exemplo, a consulta de exemplo a seguir une a coluna RemoteIPCountry na tabela Heartbeat, com o termo de pesquisa definido para a watchlist chamada mywatchlist.

    Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist') 
 on $left.RemoteIPCountry == $right.SearchKey

    A imagem a seguir mostra os resultados dessa consulta de exemplo no Log Analytics.

    Captura de tela das consultas na watchlist como pesquisa.

Criar uma regra de análise com uma watchlist

Para usar watchlists em regras de análise, crie uma regra usando a função _GetWatchlist('nome-da-watchlist') na consulta.

  1. Em Configuração, selecione Análise.

  2. Selecione Criar e o tipo de regra que você deseja criar.

  3. Na guia Geral, insira as informações adequadas.

  4. Na guia Definir lógica de regra, em Consulta de regra, use a função _GetWatchlist('<watchlist>') na consulta.

    Por exemplo, digamos que você tenha uma watchlist chamada ipwatchlist criada de um arquivo CSV com os seguintes valores:

    IPAddress,Location
    10.0.100.11,Home
    172.16.107.23,Work
    10.0.150.39,Home
    172.20.32.117,Work

    O arquivo CSV se parece com a imagem a seguir. Captura de tela de quatro itens em um arquivo CSV usado para a watchlist.

    Para usar a função _GetWatchlist para este exemplo, sua consulta seria _GetWatchlist('ipwatchlist').

    Captura de tela que mostra que a consulta retorna os quatro itens da watchlist.

    Neste exemplo, incluímos apenas eventos de endereços IP na watchlist:

    //Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)

    A consulta de exemplo a seguir usa a watchlist embutida com a consulta e o termo de pesquisa definidos para a watchlist.

    //Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in ( 
    (_GetWatchlist('ipwatchlist')
    | project SearchKey)
)

    A imagem a seguir mostra essa última consulta usada na consulta de regra.

    Captura de tela que mostra como usar watchlists em regras de análise.

  5. Conclua o restante das guias no Assistente de regra de análise.

As watchlists são atualizadas em seu workspace a cada 12 dias, atualizando o campo TimeGenerated. Para saber mais, confira Criar regras de análise personalizadas para detectar ameaças.

Exibir a lista de aliases de watchlists

Talvez seja necessário ver uma lista de aliases de watchlists para identificar uma watchlist a ser usada em uma regra de análise ou consulta.

  1. Para o Microsoft Sentinel noportal do Azure, em Geral , selecioneLogs .
    No portal do Defender, selecione Investigação e resposta>Busca>Busca avançada.

  2. Na página Nova Consulta, execute a seguinte consulta: _GetWatchlistAlias.

  3. Examine a lista de aliases na guia Resultados.

    Captura de tela que mostra uma lista de watchlists.

Conteúdo relacionado

Neste documento, você aprendeu a usar watchlists no Microsoft Sentinel para enriquecer dados e aprimorar investigações. Para saber mais sobre o Microsoft Sentinel, confira os artigos a seguir: