Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Watchlists in Microsoft Sentinel helfen Sicherheitsanalysten, Ereignisdaten effizient zu korrelieren und anzureichern. Sie bieten Ihnen eine flexible Möglichkeit zum Verwalten von Referenzdaten, z. B. Listen mit hochwertigen Ressourcen oder gekündigten Mitarbeitern. Integrieren Sie Watchlists in Ihre Erkennungsregeln, Bedrohungssuche und Reaktionsworkflows, um die Ermüdung von Warnungen zu reduzieren und schneller auf Bedrohungen zu reagieren. In diesem Artikel wird erläutert, wie Watchlists in Microsoft Sentinel verwendet werden, und es werden wichtige Szenarien und Einschränkungen beschrieben und Anleitungen zum Erstellen und Abfragen von Watchlists bereitgestellt, um Ihre Sicherheitsvorgänge zu verbessern.
Verwenden Sie Watchlists in Ihren Playbooks für Suche, Erkennungsregeln, Bedrohungssuche und Reaktion. Watchlists werden in Ihrem Microsoft Sentinel Arbeitsbereich in der Watchlist Tabelle als Name-Wert-Paare gespeichert. Sie werden zwischengespeichert, um eine optimale Abfrageleistung und niedrige Latenz zu erzielen.
Wichtig
Die Features für Watchlistvorlagen und die Möglichkeit, eine Watchlist aus einer Datei in Azure Storage zu erstellen, befinden sich derzeit in der VORSCHAU. Die zusätzlichen Azure-Vorschaubedingungen enthalten zusätzliche rechtliche Bestimmungen, die für Azure Features gelten, die sich in der Betaversion, Vorschauversion oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden.
Verwendung von Watchlists
Verwenden Sie Watchlists in diesen Szenarien:
Untersuchen Sie Bedrohungen , und reagieren Sie schnell auf Incidents, indem Sie IP-Adressen, Dateihashes und andere Daten aus CSV-Dateien importieren. Nachdem Sie die Daten importiert haben, verwenden Sie Name-Wert-Paare der Watchlist für Verknüpfungen und Filter in Warnungsregeln, Bedrohungssuche, Arbeitsmappen, Notebooks und Abfragen.
Importieren Sie Geschäftsdaten als Watchlist. Importieren Sie beispielsweise Benutzerlisten mit privilegiertem Systemzugriff oder Listen von gekündigten Mitarbeitern. Verwenden Sie dann die Watchlist, um Zulassungs- und Sperrlisten zu erstellen, um zu erkennen oder zu verhindern, dass sich diese Benutzer beim Netzwerk anmelden.
Reduzieren Sie die Ermüdung von Warnungen. Erstellen Sie Zulassungslisten, um Warnungen von einer Gruppe von Benutzern zu unterdrücken, z. B. Benutzer von autorisierten IP-Adressen, die Aufgaben ausführen, die normalerweise die Warnung auslösen würden. Verhindern, dass gutartige Ereignisse zu Warnungen werden.
Anreichern von Ereignisdaten. Verwenden Sie Watchlists, um Ihren Ereignisdaten Name-Wert-Kombinationen aus externen Datenquellen hinzuzufügen.
Watchlisteinschränkungen
Es wird empfohlen, die folgenden Einschränkungen zu überprüfen, bevor Sie Watchlists erstellen:
| Einschränkung | Details |
|---|---|
| Watchlistname und Aliaslänge | Watchlistnamen und Aliase müssen zwischen 3 und 64 Zeichen lang sein. Erstes und letztes Zeichen müssen alphanumerisch sein. Leerzeichen, Bindestriche und Unterstriche sind zwischen zulässig. |
| Beabsichtigte Verwendung | Verwenden Sie Watchlists nur für Verweisdaten. Watchlists sind nicht für große Datenmengen konzipiert. |
| Maximale Anzahl aktiver Watchlist-Elemente | Sie können maximal 10 Millionen aktive Watchlistelemente für alle Watchlists in einem Arbeitsbereich verwenden. Gelöschte Elemente zählen nicht. Verwenden Sie für größere Volumes benutzerdefinierte Protokolle. |
| Datenaufbewahrung | Daten in der Log Analytics-Watchlist-Tabelle werden 28 Tage lang aufbewahrt. |
| Aktualisierungsintervall | Watchlists werden alle 12 Tage aktualisiert, wobei das TimeGenerated Feld aktualisiert wird. |
| Arbeitsbereichsübergreifende Verwaltung | Die Arbeitsbereichsübergreifende Verwaltung von Watchlists mit Azure Lighthouse wird nicht unterstützt. |
| Lokale Dateiuploadgröße | Lokale Dateiuploads sind auf Dateien von bis zu 3,8 MB beschränkt. |
| Azure Größe des Speicherdateiuploads (Vorschau) | Azure Storage-Uploads sind auf Dateien von bis zu 500 MB beschränkt. |
| Spalten- und Tabelleneinschränkungen | Watchlists müssen den Einschränkungen für die Benennung von KQL-Entitäten für Spalten und Namen folgen. |
Microsoft Sentinel Methoden zum Erstellen von Watchlists
Verwenden Sie eine der folgenden Methoden, um Watchlists in Microsoft Sentinel zu erstellen:
Hochladen einer Datei aus einem lokalen Ordner oder aus Ihrem Azure Storage-Konto.
Laden Sie eine Watchlistvorlage aus Microsoft Sentinel herunter, fügen Sie Ihre Daten hinzu, und laden Sie die Datei dann hoch, wenn Sie die Watchlist erstellen.
Um eine Watchlist aus einer großen Datei (bis zu 500 MB) zu erstellen, laden Sie die Datei in Ihr Azure Storage-Konto hoch. Erstellen Sie eine SAS-URL (Shared Access Signature), damit Microsoft Sentinel die Watchlistdaten abrufen können. Eine SAS-URL enthält sowohl den Ressourcen-URI als auch das SAS-Token für eine Ressource, z. B. eine CSV-Datei in Ihrem Speicherkonto. Fügen Sie die Watchlist ihrem Arbeitsbereich in Microsoft Sentinel hinzu.
Weitere Informationen finden Sie unter:
Watchlists in Abfragen für Such- und Erkennungsregeln
Um Ihre Watchlistdaten mit anderen Microsoft Sentinel Daten zu korrelieren, verwenden Sie tabellarische Kusto-Operatoren wie join und lookup mit der Watchlist Tabelle. Microsoft Sentinel erstellt die folgenden Funktionen im Arbeitsbereich, um auf Ihre Watchlists zu verweisen und sie abzufragen:
-
_GetWatchlistAlias– gibt die Aliase aller Watchlists zurück. -
_GetWatchlist– fragt die Name-Wert-Paare der angegebenen Watchlist ab.
Wenn Sie eine Watchlist erstellen, definieren Sie den SearchKey. Der Suchschlüssel ist der Name einer Spalte in Ihrer Watchlist, die Sie als Verknüpfung mit anderen Daten oder als häufiges Suchobjekt verwenden möchten. Angenommen, Sie verfügen über eine Server-Watchlist, die Länder-/Regionsnamen und die entsprechenden zweistelligen Ländercodes enthält. Sie gehen davon aus, dass Sie die Ländercodes häufig für Suchvorgänge oder Joins verwenden. Daher verwenden Sie die Ländercodespalte als Suchschlüssel.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
Sehen wir uns einige andere Beispielabfragen an.
Angenommen, Sie möchten eine Watchlist in einer Analyseregel verwenden. Sie erstellen eine Watchlist namens ipwatchlist mit Spalten für IPAddress und Location. Sie legen als SearchKey festIPAddress.
IPAddress,Location |
|---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
Um nur Ereignisse von IP-Adressen in die Watchlist einzuschließen, können Sie eine Abfrage verwenden, bei der watchlist als Variable oder Inline verwendet wird.
In dieser Beispielabfrage wird die Watchlist als Variable verwendet:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
Diese Beispielabfrage verwendet die Watchlist inline mit der Abfrage und dem Suchschlüssel, der für die Watchlist definiert ist.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
Weitere Informationen finden Sie unter Erstellen von Abfragen und Erkennungsregeln mit Watchlists in Microsoft Sentinel und den folgenden Artikeln in der Kusto-Dokumentation:
Weitere Informationen zu KQL finden Sie unter übersicht über Kusto-Abfragesprache (KQL).
Weitere Ressourcen:
Verwandte Inhalte
Weitere Informationen finden Sie unter: