مشاركة عبر

إنشاء استعلامات أو قواعد الكشف باستخدام قوائم المشاهدة في Microsoft Sentinel

  • ينطبق على: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

ربط بيانات قائمة المشاهدة الخاصة بك بأي بيانات Microsoft Sentinel مع عوامل التشغيل الجدولية Kusto مثل join و lookup. When you create a watchlist, you define the SearchKey. مفتاح البحث هو اسم العمود في قائمة مراقبتك والذي تتوقع استخدامه للضمّ مع بيانات أخرى أو كعنصر متكرر للبحث.

For optimal query performance, use SearchKey as the key for joins in your queries.

Important

يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.

Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.

إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.

إنشاء استعلامات باستخدام قوائم المشاهدة

To use a watchlist in search query, write a Kusto query that uses the _GetWatchlist('watchlist-name') function and uses SearchKey as the key for your join.

  1. For Microsoft Sentinel in the Defender portal, select Microsoft Sentinel>Configuration>Watchlist. For Microsoft Sentinel in the Azure portal, under Configuration, select Watchlist.

  2. حدد قائمة المشاهدة التي تريد استخدامها.

  3. حدد عرض في السجلات.

    لقطة شاشة توضح كيفية استخدام قوائم المشاهدة في الاستعلامات.

  4. Review the Results tab. The items in your watchlist are automatically extracted for your query.

    The example below shows the results of the extraction of the Name and IP Address fields. The SearchKey is shown as its own column.

    لقطة شاشة تعرض الاستعلامات مع حقول قائمة المشاهدة.

    سيتم تجاهل الطابع الزمني للاستعلامات في كل من واجهة مستخدم الاستعلام وفي التنبيهات المجدولة.

  5. Write a query that uses the _GetWatchlist('watchlist-name') function and uses SearchKey as the key for your join.

    على سبيل المثال، ينضم استعلام المثال التالي إلى RemoteIPCountry العمود في Heartbeat الجدول مع مفتاح البحث المحدد لقائمة المشاهدة المسماة mywatchlist.

    Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist') 
 on $left.RemoteIPCountry == $right.SearchKey

    تعرض الصورة التالية نتائج هذا الاستعلام المثال في Log Analytics.

    لقطة شاشة للاستعلامات مقابل قائمة المشاهدة كتبحث.

إنشاء قاعدة تحليلات باستخدام قائمة مشاهدة

لاستخدام قوائم المشاهدة في قواعد التحليلات، قم بإنشاء قاعدة باستخدام وظيفة _GetWatchlist ('watchlist-name') في الاستعلام.

  1. Under Configuration, select Analytics.

  2. Select Create and the type of rule you want to create.

  3. On the General tab, enter the appropriate information.

  4. في علامة التبويب تعيين منطق القاعدة ، ضمن استعلام القاعدة ، استخدم الدالة _GetWatchlist('<watchlist>') في الاستعلام.

    على سبيل المثال، لنفترض أن لديك قائمة مشاهدة باسم ipwatchlist قمت بإنشائها من ملف CSV بالقيم التالية:

    IPAddress,Location
    10.0.100.11,Home
    172.16.107.23,Work
    10.0.150.39,Home
    172.20.32.117,Work

    يبدو ملف CSV مشابها للصورة التالية. لقطة شاشة لأربعة عناصر في ملف CSV يستخدم لقائمة المشاهدة.

    لاستخدام الدالة _GetWatchlist لهذا المثال، سيكون الاستعلام الخاص بك هو _GetWatchlist('ipwatchlist').

    لقطة شاشة تعرض الاستعلام بإرجاع العناصر الأربعة من قائمة المشاهدة.

    في هذا المثال، نقوم بتضمين الأحداث فقط من عناوين IP في قائمة المشاهدة:

    //Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)

    يستخدم الاستعلام المثال التالي قائمة المشاهدة المضمنة مع الاستعلام ومفتاح البحث المحدد لقائمة المشاهدة.

    //Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in ( 
    (_GetWatchlist('ipwatchlist')
    | project SearchKey)
)

    تعرض الصورة التالية هذا الاستعلام الأخير المستخدم في استعلام القاعدة.

    لقطة شاشة توضح كيفية استخدام قوائم المشاهدة في قواعد التحليلات.

  5. أكمل بقية علامات التبويب في معالج قاعدة التحليلات.

يتم تحديث قوائم المشاهدة في مساحة العمل الخاصة بك كل 12 يوما، مع تحديث TimeGenerated الحقل. لمزيد من المعلومات، راجع إنشاء قواعد تحليلات مخصصة للكشف عن التهديدات.

عرض قائمة الأسماء المستعارة لقائمة المشاهدة

قد تحتاج إلى رؤية قائمة الأسماء المستعارة لقائمة المشاهدة لتحديد قائمة مشاهدة لاستخدامها في استعلام أو قاعدة تحليلات.

  1. For Microsoft Sentinel in the Azure portal, under General, select Logs.
    In the Defender portal, select Investigation & response>Hunting>Advanced hunting.

  2. On the New Query page, run the following query: _GetWatchlistAlias.

  3. Review the list of aliases in the Results tab.

    لقطة شاشة تعرض قائمة قوائم المشاهدة.

راجع المزيد من المعلومات حول العناصر التالية المستخدمة في الأمثلة السابقة، في وثائق Kusto:

لمزيد من المعلومات حول KQL، راجع نظرة عامة على لغة استعلام Kusto (KQL).

Other resources:

Related content

في هذا المستند، تعلمت كيفية استخدام قوائم المشاهدة في Microsoft Sentinel لإثراء البيانات وتحسين التحقيقات. راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel:

  • Last updated on