Watchlists in Microsoft Sentinel
Mit Watchlists in Microsoft Sentinel können Sie Daten aus einer Datenquelle korrelieren, die Sie mit den Ereignissen in Ihrer Microsoft Sentinel-Umgebung bereitstellen. Beispielsweise können Sie eine Watchlist mit einer Liste von hochwertigen Ressourcen, gekündigten Mitarbeitern oder Dienstkonten in Ihrer Umgebung erstellen.
Sie können Watchlists in Ihrer Suche, für Erkennungsregeln, bei der Bedrohungssuche sowie in Reaktionsplaybooks verwenden.
Watchlists werden in Ihrem Microsoft Sentinel-Arbeitsbereich als Name/Wert-Paare gespeichert und für optimale Abfrageleistung und geringe Latenz zwischengespeichert.
Wichtig
Die Features für Watchlistvorlagen und die Möglichkeit zum Erstellen einer Watchlist aus einer Datei in Azure Storage befinden sich derzeit in der VORSCHAUPHASE. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Verwendung von Watchlists
Verwenden Sie Watchlists zur Unterstützung in folgenden Szenarien:
Untersuchen von Bedrohungen und schnelles Reagieren auf Incidents, indem IP-Adressen, Dateihashes und andere Daten schnell aus CSV-Dateien importiert werden. Nach dem Importieren der Daten können Sie Name-Wert-Paare der Watchlist zum Verknüpfen und Filtern in Warnungsregeln, bei der Bedrohungssuche, in Arbeitsmappen, in Notebooks und für allgemeine Abfragen verwenden.
Importieren von Geschäftsdaten als Watchlist. Importieren Sie beispielsweise Listen von Benutzern mit privilegiertem Systemzugriff oder gekündigten Mitarbeitern. Verwenden Sie dann die Watchlist, um Positivlisten und Sperrlisten zu erstellen, um diese Benutzer bei der Anmeldung beim Netzwerk zu erkennen oder sie daran zu hindern.
Reduzieren der Warnungsmüdigkeit. Erstellen Sie Positivlisten, um auf eine Gruppe von Benutzern bezogene Warnungen zu unterdrücken (z. B. Benutzer von autorisierten IP-Adressen, die Aufgaben ausführen, durch die normalerweise die Warnung ausgelöst würde). Verhindern Sie, dass unbedenkliche Ereignisse Warnungen auslösen.
Anreichern von Ereignisdaten. Verwenden Sie Watchlists, um Ihre Ereignisdaten mit Name-Wert-Kombinationen zu erweitern, die aus externen Datenquellen stammen.
Einschränkungen von Watchlists
Beachten Sie vor dem Erstellen einer Watchlist die folgenden Einschränkungen:
- Wenn Sie eine Watchlist erstellen, müssen der Name und der Alias der Watchlist zwischen 3 und 64 Zeichen lang sein. Das erste und das letzte Zeichen müssen alphanumerisch sein. Sie können aber Leerzeichen, Bindestriche und Unterstriche zwischen den ersten und letzten Zeichen einschließen.
- Die Verwendung von Watchlists sollte auf Verweisdaten beschränkt werden, da sie nicht für große Datenvolumen konzipiert sind.
- Die Gesamtzahl der aktiven Watchlistelemente in allen Watchlists in einem einzelnen Arbeitsbereich ist derzeit auf 10 Millionen beschränkt. Gelöschte Watchlistelemente werden auf diese Summe nicht angerechnet. Wenn Sie die Möglichkeit benötigen, auf große Datenvolumen zu verweisen, erwägen Sie stattdessen die Erfassung dieser Daten mithilfe benutzerdefinierter Protokolle.
- Watchlists werden alle 12 Tage in Ihrem Arbeitsbereich aktualisiert und das
TimeGenerated
Feld aktualisiert. - Die Verwendung von Lighthouse zum Verwalten von Watchlists in verschiedenen Arbeitsbereichen wird derzeit nicht unterstützt.
- Lokale Dateiuploads sind aktuell auf Dateien mit einer Größe von bis zu 3,8 MB beschränkt.
- Dateiuploads aus einem Azure Storage-Konto (in der Vorschauphase) sind derzeit auf Dateien mit einer Größe von bis zu 500 MB beschränkt.
- Watchlists müssen dieselben Spalten- und Tabelleneinschränkungen wie KQL-Entitäten einhalten. Weitere Informationen finden Sie unter KQL-Entitätsnamen.
Optionen zum Erstellen von Watchlists
Erstellen einer Watchlist in Microsoft Sentinel aus einer Datei, die Sie aus einem lokalen Ordner oder aus einer Datei in Ihrem Azure Storage-Konto hochladen.
Sie haben die Möglichkeit, eine der Watchlistvorlagen von Microsoft Sentinel herunterzuladen, um sie mit Ihren Daten aufzufüllen. Laden Sie diese Datei dann hoch, wenn Sie die Watchlist in Microsoft Sentinel erstellen.
Um eine Watchlist aus einer großen Datei mit einer Größe von bis zu 500 MB zu erstellen, laden Sie die Datei in Ihr Azure Storage-Konto hoch. Erstellen Sie dann eine SAS-URL (Shared Access Signature), über die Microsoft Sentinel die Watchlistdaten abrufen kann. Eine SAS-URL (Shared Access Signature) ist ein URI, der sowohl den Ressourcen-URI als auch das Shared Access Signature-Token einer Ressource wie einer CSV-Datei in Ihrem Speicherkonto enthält. Fügen Sie schließlich die Watchlist Ihrem Arbeitsbereich in Microsoft Sentinel hinzu.
Weitere Informationen finden Sie in den folgenden Artikeln:
Watchlists in Abfragen für Suchen und Erkennungsregeln
Fragen Sie Daten einer Tabelle anhand von Daten aus einer Watchlist ab, indem Sie die Watchlist als Tabelle für Verknüpfungs- und Suchvorgänge verwenden. Wenn Sie eine Watchlist erstellen, definieren Sie den SearchKey. Der Suchschlüssel ist der Name einer Spalte in Ihrer Watchlist, die Sie als Verknüpfung (Join) mit anderen Daten oder als häufiges Suchobjekt verwenden möchten. Angenommen, Sie verfügen über eine Serverwatchlist, die Ländernamen und die jeweiligen aus zwei Buchstaben bestehenden Ländercodes enthält. Sie gehen davon aus, dass Sie die Landeskennzahlen häufig für Suchen oder Verknüpfungen verwenden. Also verwenden Sie die Ländercodespalte als Suchschlüssel.
Die folgende Beispielabfrage verknüpft die RemoteIPCountry
-Spalte in der Heartbeat
-Tabelle mit dem Suchschlüssel, der für die Watchlist namens mywatchlist
definiert ist.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
Betrachten Sie einige weitere Beispielabfragen.
Angenommen, Sie möchten eine Watchlist in einer Analyseregel verwenden. Sie erstellen eine Watchlist namens ipwatchlist
, die die Spalten für IPAddress
und Location
enthält. Sie definieren IPAddress
als SearchKey-.
IPAddress,Location |
---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
Wenn Sie nur Ereignisse von IP-Adressen in die Watchlist einbeziehen möchten, können Sie eine Abfrage verwenden, bei der die Watchlist als Variable oder inline verwendet wird.
In der folgenden Beispielabfrage wird die Watchlist als Variable verwendet:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
Die folgende Beispielabfrage verwendet die Watchlist inline mit der Abfrage und dem Suchschlüssel, der für die Watchlist definiert ist.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
Weitere Informationen finden Sie unter Erstellen von Abfragen und Erkennungsregeln mit Watchlists in Microsoft Sentinel.
Nächste Schritte
Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln:
- Erstellen von Watchlists
- Erstellen von Abfragen und Erkennungsregeln mit Watchlists
- Verwalten von Watchlists
- Erfahren Sie, wie Sie Einblick in Ihre Daten und potenzielle Bedrohungen erhalten.
- Beginnen Sie mit Erkennung von Bedrohungen mithilfe von Microsoft Sentinel.
- Verwenden Sie Arbeitsmappen, um Ihre Daten zu überwachen.