Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Seznamy ke zhlédnutí v Microsoft Sentinelu pomáhají analytikům zabezpečení efektivně korelovat a rozšiřovat data událostí. Poskytují flexibilní způsob správy referenčních dat, jako jsou seznamy vysoce hodnotných prostředků nebo ukončených zaměstnanců. Integrujte seznamy ke zhlédnutí do pravidel detekce, proaktivního vyhledávání hrozeb a pracovních postupů reakce, abyste snížili únavu výstrah a rychleji reagovali na hrozby. Tento článek vysvětluje, jak používat seznamy ke zhlédnutí v Microsoft Sentinelu, popisuje klíčové scénáře a omezení a poskytuje pokyny k vytváření a dotazování seznamů ke zhlédnutí k vylepšení operací zabezpečení.
V playbookech vyhledávání, pravidel detekce, proaktivního vyhledávání hrozeb a odpovědí používejte seznamy ke zhlédnutí. Seznamy sledování se ukládají ve vašem pracovním prostoru Microsoft Sentinelu Watchlist v tabulce jako páry název-hodnota. Jsou uložené v mezipaměti pro optimální výkon dotazů a nízkou latenci.
Důležité
Funkce pro šablony seznamu ke zhlédnutí a možnost vytvořit seznam ke zhlédnutí ze souboru ve službě Azure Storage jsou aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
Kdy použít seznamy ke zhlédnutí
Seznamy sledování použijte v těchto scénářích:
Rychle prozkoumejte hrozby a reagujte na incidenty importem IP adres, hodnot hash souborů a dalších dat ze souborů CSV. Po importu dat použijte název-hodnota páry seznamu sledování pro spojení a filtry v pravidlech upozornění, průzkumu hrozeb, pracovních sešitech, poznámkových blocích a dotazech.
Importovat obchodní data jako seznam sledování. Můžete například importovat seznamy uživatelů s privilegovaným přístupem k systému nebo seznamy ukončených zaměstnanců. Pak pomocí seznamu ke zhlédnutí vytvořte seznamy povolených a blokovaných seznamů, abyste zjistili nebo zabránili těmto uživatelům v přihlášení k síti.
Snižte únavu upozornění. Vytvořte seznamy povolených pro potlačení výstrah ze skupiny uživatelů, jako jsou uživatelé z autorizovaných IP adres, kteří provádějí úlohy, které by výstrahu normálně aktivovaly. Zabránit tomu, aby se neškodné události staly výstrahami.
Obohacení dat událostí Pomocí seznamů ke zhlédnutí můžete do dat událostí přidat kombinace názvů a hodnot z externích zdrojů dat.
Omezení sledovaného seznamu
Před vytvořením seznamů ke zhlédnutí doporučujeme zkontrolovat následující omezení:
| Omezení | Podrobnosti |
|---|---|
| Délka názvu a aliasu seznamu sledovaných položek | Názvy a aliasy sledovaných položek musí mít délku 3 až 64 znaků. První a poslední znaky musí být alfanumerické; mezery, pomlčky a podtržítka jsou mezi těmito znaky povolené. |
| Zamýšlené použití | Sledovací seznamy používejte pouze pro referenční data. Sledovací seznamy nejsou navržené pro velké objemy dat. |
| Maximální počet aktivních položek seznamu ke zhlédnutí | Maximálně 10 milionů aktivních položek seznamu sledování můžete mít ve všech seznamech pracovního prostoru. Odstraněné položky se nepočítají. U větších svazků použijte vlastní protokoly. |
| Uchovávání dat | Data v tabulce sledovaného seznamu služby Log Analytics se uchovávají po dobu 28 dnů. |
| Interval aktualizace | Sledované seznamy se obnovují každých 12 dnů a aktualizují TimeGenerated pole. |
| Správa napříč pracovními prostory | Správa seznamů ke zhlédnutí napříč pracovními prostory pomocí Služby Azure Lighthouse se nepodporuje. |
| Velikost nahrávaného souboru | Nahrávání místních souborů je omezeno na soubory o velikosti až 3,8 MB. |
| Velikost nahrávání souborů Azure Storage (Preview) | Nahrávání služby Azure Storage je omezené na soubory o velikosti až 500 MB. |
| Omezení sloupců a tabulek | Seznamy sledovaných položek musí dodržovat omezení pojmenování entit KQL pro sloupce a názvy. |
Způsoby vytváření sledovaného seznamu služby Microsoft Sentinel
Pomocí jedné z následujících metod můžete vytvářet seznamy ke zhlédnutí v Microsoft Sentinelu:
Nahrání souboru z místní složky nebo z účtu Azure Storage
Stáhněte si šablonu seznamu ke zhlédnutí z Microsoft Sentinelu, přidejte data a pak soubor nahrajte při vytváření seznamu ke zhlédnutí.
Pokud chcete vytvořit seznam ke zhlédnutí z velkého souboru (až 500 MB), nahrajte ho do svého účtu Azure Storage. Vytvořte adresu URL sdíleného přístupového podpisu (SAS), aby mohl Microsoft Sentinel načíst data ze seznamu pozorování. Adresa URL SAS obsahuje identifikátor URI prostředku i token SAS pro prostředek, jako je soubor CSV ve vašem účtu úložiště. Přidejte ke svému pracovnímu prostoru v Microsoft Sentinelu seznam ke zhlédnutí.
Další informace najdete tady:
- Vytváření seznamů ke zhlédnutí v Microsoft Sentinelu
- Integrovaná schémata sledovacího seznamu
- Token SAS služby Azure Storage
Seznamy ke zhlédnutí v dotazech pro vyhledávání a pravidla detekce
Pokud chcete korelovat data seznamu ke zhlédnutí s jinými daty Microsoft Sentinelu, použijte tabulkové operátory Kusto, jako join je tabulka a lookupWatchlist tabulka. Microsoft Sentinel vytvoří v pracovním prostoru následující funkce, které vám pomůžou odkazovat na seznamy ke zhlédnutí a dotazovat se na tyto seznamy:
-
_GetWatchlistAlias– vrátí aliasy všech vašich sledovacích seznamů. -
_GetWatchlist– dotazuje páry název-hodnota zadaného seznamu ke zhlédnutí.
Při vytváření seznamu ke zhlédnutí definujete SearchKey. Hledaný klíč je název sloupce v seznamu ke zhlédnutí, který očekáváte jako spojení s jinými daty nebo jako častý objekt hledání. Předpokládejme například, že máte seznam ke zhlédnutí serveru, který obsahuje názvy zemí/oblastí a jejich odpovídající dvoumísmenné kódy zemí. Očekáváte, že kódy zemí často používáte pro hledání nebo spojení. Proto jako hledaný klíč použijete sloupec kódu země.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
Podívejme se na některé další ukázkové dotazy.
Předpokládejme, že chcete použít seznam ke zhlédnutí v analytickém pravidlu. Vytvoříte sledovací seznam se sloupci ipwatchlist, IPAddress a Location. Nastavíte IPAddress jako SearchKey.
IPAddress,Location |
|---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
Pokud chcete do seznamu ke zhlédnutí zahrnout pouze události z IP adres, můžete použít dotaz, ve kterém watchlist se používá jako proměnná nebo vložená.
Tento ukázkový dotaz používá seznam ke zhlédnutí jako proměnnou:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
Tento ukázkový dotaz používá sledovací seznam přímo v dotazu a hledaný klíč definovaný pro sledovací seznam.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
Další informace najdete v tématu Vytváření dotazů a pravidel detekce pomocí seznamů ke zhlédnutí v Microsoft Sentinelu a v následujících článcích v dokumentaci Kusto:
Další informace o KQL naleznete na Přehledu o Kusto Query Language (KQL).
Další zdroje informací:
Související obsah
Další informace najdete tady: