在 Microsoft Sentinel 中使用觀看清單建置查詢或偵測規則
將關注清單視為可供聯結和查閱的資料表,根據關注清單中的資料來查詢任何資料表中的資料。 在建立關注清單時,您會定義 SearchKey。 搜尋索引鍵是您預期作為與其他資料聯結或常用搜尋物件的關注清單中資料行的名稱。
若要獲得最佳查詢效能,請使用 SearchKey 作為查詢中聯結的索引鍵。
重要
Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
使用觀看清單建置查詢
若要在搜尋查詢中使用觀看清單,請撰寫使用 _GetWatchlist('watchlist-name') 函式的 Kusto 查詢,並使用 SearchKey 作為聯結的索引鍵。
針對 Azure 入口網站的 Microsoft Sentinel,在 [設定] 下方選取 [關注清單].。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[設定]>[關注清單]。選取您想要使用的觀看清單。
選取 [記錄中檢視]。
檢閱 [結果] 索引標籤。關注清單中的項目會自動擷取您的查詢。
下列範例顯示 [名稱] 和 [IP 位址] 欄位的擷取結果。 SearchKey 會顯示為其自己的資料行。
查詢 UI 和排程警示中將會忽略查詢的時間戳記。
撰寫使用 _GetWatchlist('watchlist-name') 函式的查詢,並使用 SearchKey 作為聯結的索引鍵。
例如,下列範例查詢會將
Heartbeat
資料表中的RemoteIPCountry
資料行與針對名為mywatchlist
的觀看清單所定義的搜尋索引鍵相聯結。Heartbeat | lookup kind=leftouter _GetWatchlist('mywatchlist') on $left.RemoteIPCountry == $right.SearchKey
下圖顯示 Log Analytics 中此範例查詢的結果。
使用觀看清單建立分析規則
若要在分析規則中使用觀看清單,請在查詢中使用 _GetWatchlist('watchlist-name') 函式建立規則。
在 [設定] 底下,選取 [分析]。
選取 [建立] 和您要建立的規則類型。
在 [一般] 索引標籤上,輸入適當的資訊。
在 [設定規則邏輯] 索引標籤的 [規則查詢] 底下,在查詢中使用
_GetWatchlist('<watchlist>')
函式。例如,假設您有名為
ipwatchlist
的關注清單,您從具有下列值的 CSV 檔案建立:IPAddress,Location
10.0.100.11,Home
172.16.107.23,Work
10.0.150.39,Home
172.20.32.117,Work
CSV 檔案看起來像下圖。
若要針對此範例使用
_GetWatchlist
函式,您的查詢會是_GetWatchlist('ipwatchlist')
。在此範例中,我們只會在觀看清單中包含來自 IP 位址的事件:
//Watchlist as a variable let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress); Heartbeat | where ComputerIP in (watchlist)
下列範例查詢以內嵌方式在查詢中使用關注清單,以及為關注清單定義的搜尋索引鍵。
//Watchlist inline with the query //Use SearchKey for the best performance Heartbeat | where ComputerIP in ( (_GetWatchlist('ipwatchlist') | project SearchKey) )
下圖顯示規則查詢中使用的這個最後一個查詢。
完成 [分析規則精靈] 中的其餘索引標籤。
關注清單會每隔 12 天在您的工作區中重新整理,並更新 TimeGenerated
欄位。 如需詳細資訊,請參閱建立自訂分析規則以偵測威脅。
檢視觀看清單別名的清單
您可能需要查看觀看清單別名的清單,以識別要在查詢或分析規則中使用的觀看清單。
針對 Azure 入口網站中的 Microsoft Sentinel,在 [一般] 下,選取 [記錄]。
在 Defender 入口網站中,選取 [調查與回應]>[搜捕]>[進階搜捕]。在 [新增查詢] 頁面上,執行下列查詢:
_GetWatchlistAlias
。在 [結果] 索引標籤中檢閱別名的清單。
相關內容
在本文件中,您已了解如何在 Microsoft Sentinel 中使用觀看清單來擴充資料並改善調查。 若要深入了解 Microsoft Sentinel,請參閱下列文章:
- 建立關注清單
- 學習如何洞察資料及潛在威脅。
- 開始 使用 Microsoft Sentinel 來偵測威脅。
- 使用活頁簿監視資料。