Partilhar via

Crie consultas ou regras de deteção com listas de observação no Microsoft Sentinel

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Consulte dados em qualquer tabela em relação aos dados de uma lista de observação tratando a lista de observação como uma tabela para junções e pesquisas. Ao criar uma lista de observação, você define a SearchKey. A chave de pesquisa é o nome de uma coluna na sua lista de observação que você espera usar como uma junção com outros dados ou como um objeto frequente de pesquisas.

Para um desempenho de consulta ideal, use SearchKey como a chave para junções em suas consultas.

Importante

O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Crie consultas com listas de observação

Para usar uma lista de observação na consulta de pesquisa, escreva uma consulta Kusto que use a função _GetWatchlist('watchlist-name') e use SearchKey como a chave para sua associação.

  1. Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Lista de observação.
    Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuration>Watchlist.

  2. Selecione a lista de observação que deseja usar.

  3. Selecione Exibir em Logs.

    Captura de tela que mostra como usar listas de observação em consultas.

  4. Reveja o separador Resultados. Os itens da sua lista de observação são extraídos automaticamente para a sua consulta.

    O exemplo abaixo mostra os resultados da extração dos campos Nome e Endereço IP. A SearchKey é mostrada como sua própria coluna.

    Captura de tela que mostra consultas com campos de lista de observação.

    O carimbo de data/hora em suas consultas será ignorado na interface do usuário da consulta e nos alertas agendados.

  5. Escreva uma consulta que use a função _GetWatchlist('watchlist-name') e use SearchKey como a chave para sua associação.

    Por exemplo, a consulta de exemplo a seguir une a RemoteIPCountry coluna na Heartbeat tabela com a chave de pesquisa definida para a lista de observação chamada mywatchlist.

    Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist') 
 on $left.RemoteIPCountry == $right.SearchKey

    A imagem a seguir mostra os resultados dessa consulta de exemplo no Log Analytics.

    Captura de tela de consultas na lista de observação como pesquisa.

Criar uma regra de análise com uma lista de observação

Para usar listas de observação em regras de análise, crie uma regra usando a função _GetWatchlist('watchlist-name') na consulta.

  1. Em Configuração, selecione Análise.

  2. Selecione Criar e o tipo de regra que deseja criar.

  3. Na guia Geral, insira as informações apropriadas.

  4. Na guia Definir lógica da regra, em Consulta regra, use a _GetWatchlist('<watchlist>') função na consulta.

    Por exemplo, digamos que você tenha uma lista de observação nomeada ipwatchlist que você criou a partir de um arquivo CSV com os seguintes valores:

    IPAddress,Location
    10.0.100.11,Home
    172.16.107.23,Work
    10.0.150.39,Home
    172.20.32.117,Work

    O arquivo CSV se parece com a imagem a seguir. Captura de tela de quatro itens em um arquivo CSV usado para a lista de observação.

    Para usar a _GetWatchlist função para este exemplo, sua consulta seria _GetWatchlist('ipwatchlist').

    Captura de tela que mostra a consulta retorna os quatro itens da lista de observação.

    Neste exemplo, incluímos apenas eventos de endereços IP na lista de observação:

    //Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)

    A consulta de exemplo a seguir usa a lista de observação em linha com a consulta e a chave de pesquisa definida para a lista de observação.

    //Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in ( 
    (_GetWatchlist('ipwatchlist')
    | project SearchKey)
)

    A imagem a seguir mostra essa última consulta usada na consulta de regra.

    Captura de tela que mostra como usar listas de observação em regras de análise.

  5. Preencha o restante das guias no assistente de regras do Google Analytics.

As listas de observação são atualizadas no seu espaço de trabalho a cada 12 dias, atualizando o TimeGenerated campo. Para obter mais informações, consulte Criar regras de análise personalizadas para detetar ameaças.

Ver lista de aliases da lista de observação

Talvez seja necessário ver uma lista de aliases de lista de observação para identificar uma lista de observação a ser usada em uma regra de consulta ou análise.

  1. Para Microsoft Sentinel no portal do Azure, em Geral, selecione Logs.
    No portal do Defender, selecione Investigação e resposta>Caça>avançada.

  2. Na página Nova Consulta, execute a seguinte consulta: _GetWatchlistAlias.

  3. Reveja a lista de aliases no separador Resultados .

    Captura de tela que mostra uma lista de listas de observação.

Conteúdos relacionados

Neste documento, você aprendeu como usar listas de observação no Microsoft Sentinel para enriquecer dados e melhorar as investigações. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos: