Dela via

Skapa frågor eller identifieringsregler med bevakningslistor i Microsoft Sentinel

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Korrelera dina visningslistdata mot alla Microsoft Sentinel-data med Kusto-tabelloperatorer som join och lookup. När du skapar en visningslista definierar du SearchKey. Söknyckeln är namnet på en kolumn i visningslistan som du förväntar dig att använda som en koppling till andra data eller som ett vanligt objekt för sökningar.

För optimal frågeprestanda använder du SearchKey som nyckel för kopplingar i dina frågor.

Viktigt!

Microsoft Sentinel är allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Skapa frågor med visningslistor

Om du vill använda en visningslista i sökfrågan skriver du en Kusto-fråga som använder funktionen _GetWatchlist('watchlist-name') och använder SearchKey som nyckel för din koppling.

  1. För Microsoft Sentinel i Azure Portal går du till Konfiguration och väljer Bevakningslista.
    För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel Configuration>>Watchlist.

  2. Välj den visningslista som du vill använda.

  3. Välj Visa i loggar.

    Skärmbild som visar hur du använder visningslistor i frågor.

  4. Granska fliken Resultat . Objekten i bevakningslistan extraheras automatiskt för din fråga.

    Exemplet nedan visar resultatet av extrahering av fälten Namn och IP-adress . SearchKey visas som en egen kolumn.

    Skärmbild som visar frågor med visningslistefält.

    Tidsstämpeln för dina frågor ignoreras både i frågegränssnittet och i schemalagda aviseringar.

  5. Skriv en fråga som använder funktionen _GetWatchlist('watchlist-name') och använder SearchKey som nyckel för din koppling.

    Följande exempelfråga kopplar RemoteIPCountry till exempel kolumnen i Heartbeat tabellen med söknyckeln som definierats för visningslistan med namnet mywatchlist.

    Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist') 
 on $left.RemoteIPCountry == $right.SearchKey

    Följande bild visar resultatet av den här exempelfrågan i Log Analytics.

    Skärmbild av frågor mot visningslistan som uppslag.

Skapa en analysregel med en visningslista

Om du vill använda visningslistor i analysregler skapar du en regel med hjälp av funktionen _GetWatchlist('watchlist-name') i frågan.

  1. Under Konfiguration väljer du Analys.

  2. Välj Skapa och den typ av regel som du vill skapa.

  3. Ange lämplig information på fliken Allmänt .

  4. På fliken Ange regellogik använder _GetWatchlist('<watchlist>') du funktionen i frågan under Regelfråga.

    Anta till exempel att du har en visningslista med namnet ipwatchlist som du skapade från en CSV-fil med följande värden:

    IPAddress,Location
    10.0.100.11,Home
    172.16.107.23,Work
    10.0.150.39,Home
    172.20.32.117,Work

    CSV-filen ser ut ungefär som följande bild. Skärmbild av fyra objekt i en CSV-fil som används för visningslistan.

    Om du vill använda _GetWatchlist funktionen för det här exemplet är _GetWatchlist('ipwatchlist')frågan .

    Skärmbild som visar frågan returnerar de fyra objekten från visningslistan.

    I det här exemplet inkluderar vi bara händelser från IP-adresser i visningslistan:

    //Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)

    I följande exempelfråga används visningslistan infogad med frågan och söknyckeln som definierats för visningslistan.

    //Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in ( 
    (_GetWatchlist('ipwatchlist')
    | project SearchKey)
)

    Följande bild visar den sista frågan som används i regelfrågan.

    Skärmbild som visar hur du använder visningslistor i analysregler.

  5. Slutför resten av flikarna i guiden Analysregel.

Visningslistor uppdateras på din arbetsyta var 12:e dag och uppdaterar fältet TimeGenerated . Mer information finns i Skapa anpassade analysregler för att identifiera hot.

Visa lista över bevakningslistalias

Du kan behöva se en lista över bevakningslistalias för att identifiera en bevakningslista som ska användas i en fråga eller analysregel.

  1. För Microsoft Sentinel i Azure Portal väljer du Loggar under Allmänt.
    I Defender-portalen väljer du Undersökning och svar>Jakt>Avancerad jakt.

  2. Kör följande fråga på sidan Ny fråga : _GetWatchlistAlias.

  3. Granska listan med alias på fliken Resultat .

    Skärmbild som visar en lista över visningslistor.

Mer information om följande objekt som används i föregående exempel finns i Kusto-dokumentationen:

Mer information om KQL finns i översikten över Kusto-frågespråk (KQL).

Andra resurser:

Relaterat innehåll

I det här dokumentet har du lärt dig hur du använder visningslistor i Microsoft Sentinel för att utöka data och förbättra utredningar. Mer information om Microsoft Sentinel finns i följande artiklar: