Поделиться через

Создание запросов или правил обнаружения с помощью списков видео к просмотру в Microsoft Sentinel

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Сопоставляйте данные списка наблюдения с любыми данными Microsoft Sentinel с табличными операторами Kusto, такими как join и lookup. При создании списка видео к просмотру определяется ключ поиска. Ключ поиска — это имя столбца в списке видео к просмотру, который предполагается использовать в качестве соединения с другими данными или частыми объектами поиска.

Для оптимальной производительности запросов используйте SearchKey в качестве ключа для соединений в запросах.

Внимание

Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Создание запросов со списками видео к просмотру

Чтобы использовать список видео к просмотру в поисковом запросе, напишите запрос Kusto с функцией _GetWatchlist('имя-списка-видео-к-просмотру'), в котором в качестве ключа для соединения применяется ключ поиска.

  1. Для Microsoft Sentinel в портал Azure в разделе "Конфигурация" выберите "Список наблюдения".
    Для Microsoft Sentinel на портале Defender выберите список отслеживания конфигурации>Microsoft Sentinel>.

  2. Выберите список видео к просмотру, который нужно использовать.

  3. Выберите "Вид" в журналах.

    Снимок экрана: использование списков наблюдения в запросах.

  4. Проверьте вкладку Результаты. Элементы из списка видео к просмотру извлекаются автоматически в соответствии с запросом.

    В приведенном ниже примере показаны результаты извлечения полей Имя и IP-адрес. SearchKey отображается в виде отдельного столбца.

    Снимок экрана: запросы с полями списка наблюдения.

    Метка времени в запросах будет пропускаться как в пользовательском интерфейсе запроса, так и в запланированных оповещениях.

  5. Напишите запрос с функцией _GetWatchlist('имя-списка-видео-к-просмотру'), в котором в качестве ключа для соединения применяется ключ поиска.

    Например, следующий пример запроса присоединяет RemoteIPCountry столбец в Heartbeat таблице с ключом поиска, определенным для списка mywatchlistнаблюдения.

    Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist') 
 on $left.RemoteIPCountry == $right.SearchKey

    На рисунке ниже показаны результаты выполнения этого примера запроса в Log Analytics.

    Снимок экрана: запросы к списку наблюдения в качестве подстановки.

Создание правила аналитики со списком видео к просмотру

Чтобы использовать списки видео к просмотру в правилах аналитики, создайте правило с использованием функции _GetWatchlist('имя-списка-видео-к-просмотру') в запросе.

  1. В разделе Конфигурация выберите Аналитика.

  2. Выберите Создать и нужный тип правила.

  3. На вкладке "Общие " введите соответствующие сведения.

  4. На вкладке Задать логику правила в разделе Запрос правила используйте функцию _GetWatchlist('<watchlist>') в запросе.

    Например, предположим, что у вас есть список ipwatchlist наблюдения, созданный из CSV-файла со следующими значениями:

    IPAddress,Location
    10.0.100.11,Home
    172.16.107.23,Work
    10.0.150.39,Home
    172.20.32.117,Work

    CSV-файл выглядит примерно так, как на следующем изображении: Снимок экрана: четыре элемента в CSV-файле, который используется для списка наблюдения.

    Для использования функции _GetWatchlist в этом примере запрос должен выглядеть так: _GetWatchlist('ipwatchlist').

    Снимок экрана: запрос возвращает четыре элемента из списка наблюдения.

    В этом примере мы включаем в список отслеживания только события с IP-адресов:

    //Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)

    В следующем примере запроса используются список видео к просмотру, встроенный в запрос, и ключ поиска, определенный для списка видео к просмотру.

    //Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in ( 
    (_GetWatchlist('ipwatchlist')
    | project SearchKey)
)

    На изображении ниже показан последний запрос, используемый в запросе правила.

    Снимок экрана: использование списков наблюдения в правилах аналитики.

  5. Заполните остальные вкладки в мастере правил аналитики.

Списки наблюдения обновляются в рабочей области каждые TimeGenerated 12 дней, обновляя поле. Дополнительные сведения см. в разделе Создание настраиваемых правил аналитики для обнаружения угроз.

Просмотр списка псевдонимов для списков видео к просмотру

Может потребоваться просмотреть список псевдонимов списков видео к просмотру, чтобы определить список, который следует использовать в запросе или правиле аналитики.

  1. Для Microsoft Sentinel в портал Azure в разделе "Общие" выберите "Журналы".
    На портале Defender выберите "Исследование" и "Охота на ответ>", "Расширенная охота>".

  2. На странице Новый запрос выполните следующий запрос: _GetWatchlistAlias.

  3. Просмотрите список псевдонимов на вкладке Результаты.

    Снимок экрана: список списков наблюдения.

Дополнительные сведения о следующих элементах, используемых в предыдущих примерах, см. в документации Kusto:

Дополнительные сведения о KQL см. в обзоре язык запросов Kusto (KQL).

Другие ресурсы:

Связанный контент

В этом документе вы узнали, как использовать списки видео к просмотру в Microsoft Sentinel для обогащения данных и улучшения исследований. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях: