Opret forespørgsler eller registreringsregler med visningslister i Microsoft Sentinel

  • Gælder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Korreler dine visningslistedata med alle Microsoft Sentinel data med Kusto-tabeloperatorer, f.eksjoin. og lookup. Når du opretter en visningsliste, definerer du SearchKey. Søgenøglen er navnet på en kolonne på din visningsliste, som du forventer at bruge som joinforbindelse til andre data eller som et hyppigt objekt for søgninger.

Hvis du vil opnå optimal ydeevne af forespørgsler, skal du bruge SearchKey som nøglen til joinforbindelser i dine forespørgsler.

Vigtigt!

Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen.

Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender.

Opret forespørgsler med visningslister

Hvis du vil bruge en visningsliste i søgeforespørgslen, skal du skrive en Kusto-forespørgsel, der bruger funktionen _GetWatchlist('watchlist-name') og bruger SearchKey som nøglen til din joinforbindelse.

  1. For Microsoft Sentinel på Defender-portalen skal du vælge Microsoft Sentinel>Konfigurations>watchlist. For Microsoft Sentinel i Azure Portal under Konfiguration skal du vælge Visningsliste.

  2. Vælg den visningsliste, du vil bruge.

  3. Vælg Vis i logge.

    Skærmbillede, der viser, hvordan du bruger visningslister i forespørgsler.

  4. Gennemse fanen Resultater . Elementerne på din visningsliste udtrækkes automatisk til din forespørgsel.

    I nedenstående eksempel vises resultaterne af udtrækningen af felterne Navn og IP-adresse . SearchKey vises som sin egen kolonne.

    Skærmbillede, der viser forespørgsler med visningslistefelter.

    Tidsstemplet for dine forespørgsler ignoreres både i brugergrænsefladen for forespørgslen og i planlagte beskeder.

  5. Skriv en forespørgsel, der bruger funktionen _GetWatchlist('watchlist-name'), og bruger SearchKey som nøglen til din joinforbindelse.

    Følgende eksempelforespørgsel joinforbinder RemoteIPCountry f.eks. kolonnen i Heartbeat tabellen med den søgenøgle, der er defineret for visningslisten med navnet mywatchlist.

    Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist') 
 on $left.RemoteIPCountry == $right.SearchKey

    På følgende billede vises resultaterne af denne eksempelforespørgsel i Log Analytics.

    Skærmbillede af forespørgsler mod visningsliste som opslag.

Opret en analyseregel med en visningsliste

Hvis du vil bruge visningslister i analyseregler, skal du oprette en regel ved hjælp af funktionen _GetWatchlist('watchlist-name') i forespørgslen.

  1. Under Konfiguration skal du vælge Analyse.

  2. Vælg Opret og den type regel, du vil oprette.

  3. Angiv de relevante oplysninger under fanen Generelt .

  4. Brug funktionen i forespørgslen under Regelforespørgsel_GetWatchlist('<watchlist>') under fanen Angiv regellogik.

    Lad os f.eks. sige, at du har en visningsliste med navnet ipwatchlist , som du har oprettet ud fra en CSV-fil, med følgende værdier:

    IPAddress,Location
    10.0.100.11,Home
    172.16.107.23,Work
    10.0.150.39,Home
    172.20.32.117,Work

    CSV-filen ligner følgende billede. Skærmbillede af fire elementer i en CSV-fil, der bruges til visningslisten.

    Hvis du vil bruge funktionen _GetWatchlist til dette eksempel, vil din forespørgsel være _GetWatchlist('ipwatchlist').

    Skærmbillede, der viser forespørgslen returnerer de fire elementer fra visningslisten.

    I dette eksempel inkluderer vi kun hændelser fra IP-adresser på visningslisten:

    //Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)

    I følgende eksempelforespørgsel bruges den visningsliste, der er indbygget i forespørgslen, og den søgenøgle, der er defineret for visningslisten.

    //Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in ( 
    (_GetWatchlist('ipwatchlist')
    | project SearchKey)
)

    På følgende billede vises den sidste forespørgsel, der bruges i regelforespørgslen.

    Skærmbillede, der viser, hvordan du bruger visningslister i analyseregler.

  5. Fuldfør resten af fanerne i guiden Analytics-regel.

Visningslister opdateres i dit arbejdsområde hver 12. dag og opdaterer feltet TimeGenerated . Du kan finde flere oplysninger under Opret brugerdefinerede analyseregler for at registrere trusler.

Vis liste over visningslistealiasser

Du skal muligvis se en liste over visningslistealiasser for at identificere en visningsliste, der skal bruges i en forespørgsels- eller analyseregel.

  1. For Microsoft Sentinel i Azure Portal under Generelt skal du vælge Logge.
    Defender-portalen skal du vælge Undersøgelse & svar>Jagt>Avanceret jagt.

  2. Kør følgende forespørgsel på siden Ny forespørgsel : _GetWatchlistAlias.

  3. Gennemse listen over aliasser under fanen Resultater .

    Skærmbillede, der viser en liste over visningslister.

Du kan få flere oplysninger om følgende elementer, der bruges i de foregående eksempler, i dokumentationen til Kusto:

Du kan få flere oplysninger om KQL i oversigten over Kusto Query Language (KQL).

Andre ressourcer:

Relateret indhold

I dette dokument har du lært, hvordan du bruger visningslister i Microsoft Sentinel til at forbedre data og forbedre undersøgelser. Du kan få mere at vide om Microsoft Sentinel i følgende artikler:

  • Last updated on