Erstellen von Abfragen oder Erkennungsregeln mit Watchlists in Microsoft Sentinel

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Korrelieren Sie Ihre Watchlistdaten mit Microsoft Sentinel Daten mit tabellarischen Kusto-Operatoren wie join und lookup. Wenn Sie eine Watchlist erstellen, definieren Sie den SearchKey. Der Suchschlüssel ist der Name einer Spalte in Ihrer Watchlist, die Sie als Verknüpfung mit anderen Daten oder als häufiges Suchobjekt verwenden möchten.

Verwenden Sie SearchKey als Schlüssel für Joins in Ihren Abfragen, um eine optimale Abfrageleistung zu erzielen.

Wichtig

Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.

Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.

Erstellen von Abfragen mit Watchlists

Um eine Watchlist in einer Suchabfrage zu verwenden, schreiben Sie eine Kusto-Abfrage, die die funktion _GetWatchlist('watchlist-name') und SearchKey als Schlüssel für Ihren Join verwendet.

  1. Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel>Konfigurations-Watchlist> aus. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Konfiguration die Option Watchlist aus.

  2. Wählen Sie die Watchlist aus, die Sie verwenden möchten.

  3. Wählen Sie In Protokollen anzeigen aus.

    Screenshot: Verwenden von Watchlists in Abfragen

  4. Überprüfen Sie die Registerkarte Ergebnisse . Die Elemente in Ihrer Watchlist werden automatisch für Ihre Abfrage extrahiert.

    Das folgende Beispiel zeigt die Ergebnisse der Extraktion der Felder Name und IP-Adresse . Der SearchKey wird als eigene Spalte angezeigt.

    Screenshot: Abfragen mit Watchlistfeldern

    Der Zeitstempel für Ihre Abfragen wird sowohl auf der Abfrageoberfläche als auch in geplanten Warnungen ignoriert.

  5. Schreiben Sie eine Abfrage, die die funktion _GetWatchlist('watchlist-name') verwendet und SearchKey als Schlüssel für Ihren Join verwendet.

    Die folgende Beispielabfrage verknüpft beispielsweise die Spalte in der RemoteIPCountryHeartbeat Tabelle mit dem Suchschlüssel, der für die Watchlist mit dem Namen definiert ist mywatchlist.

    Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist') 
 on $left.RemoteIPCountry == $right.SearchKey

    Die folgende Abbildung zeigt die Ergebnisse dieser Beispielabfrage in Log Analytics.

    Screenshot: Abfragen für watchlist as lookup

Erstellen einer Analyseregel mit einer Watchlist

Um Watchlists in Analyseregeln zu verwenden, erstellen Sie eine Regel mithilfe der funktion _GetWatchlist('watchlist-name') in der Abfrage.

  1. Wählen Sie unter Konfiguration die Option Analyse aus.

  2. Wählen Sie Erstellen und den Typ der Regel aus, die Sie erstellen möchten.

  3. Geben Sie auf der Registerkarte Allgemein die entsprechenden Informationen ein.

  4. Verwenden Sie auf der Registerkarte Regellogik festlegen unter Regelabfrage die _GetWatchlist('<watchlist>') Funktion in der Abfrage.

    Angenommen, Sie verfügen über eine Watchlist mit dem Namen ipwatchlist , die Sie aus einer CSV-Datei mit den folgenden Werten erstellt haben:

    IPAddress,Location
    10.0.100.11,Home
    172.16.107.23,Work
    10.0.150.39,Home
    172.20.32.117,Work

    Die CSV-Datei sieht in etwa wie die folgende Abbildung aus. Screenshot von vier Elementen in einer CSV-Datei, die für die Watchlist verwendet wird.

    Um die _GetWatchlist Funktion für dieses Beispiel zu verwenden, wäre _GetWatchlist('ipwatchlist')Ihre Abfrage .

    Screenshot: Abfrage gibt die vier Elemente aus der Watchlist zurück.

    In diesem Beispiel schließen wir nur Ereignisse von IP-Adressen in die Watchlist ein:

    //Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)

    In der folgenden Beispielabfrage wird die Watchlist inline mit der Abfrage und dem für die Watchlist definierten Suchschlüssel verwendet.

    //Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in ( 
    (_GetWatchlist('ipwatchlist')
    | project SearchKey)
)

    Die folgende Abbildung zeigt diese letzte Abfrage, die in der Regelabfrage verwendet wurde.

    Screenshot: Verwenden von Watchlists in Analyseregeln

  5. Schließen Sie die restlichen Registerkarten im Analyseregel-Assistenten ab.

Watchlists werden in Ihrem Arbeitsbereich alle 12 Tage aktualisiert, wobei das TimeGenerated Feld aktualisiert wird. Weitere Informationen finden Sie unter Erstellen benutzerdefinierter Analyseregeln zum Erkennen von Bedrohungen.

Anzeigen der Liste der Watchlistaliase

Möglicherweise müssen Sie eine Liste von Watchlistaliasen anzeigen, um eine Watchlist zu identifizieren, die in einer Abfrage oder Analyseregel verwendet werden soll.

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Allgemeindie Option Protokolle aus.
    Wählen Sie im Defender-PortalUntersuchung & Antwort Hunting>>Erweiterte Suche aus.

  2. Führen Sie auf der Seite Neue Abfrage die folgende Abfrage aus: _GetWatchlistAlias.

  3. Überprüfen Sie die Liste der Aliase auf der Registerkarte Ergebnisse .

    Screenshot: Liste der Watchlists

Weitere Informationen zu den folgenden Elementen, die in den vorherigen Beispielen verwendet wurden, finden Sie in der Kusto-Dokumentation:

Weitere Informationen zu KQL finden Sie unter übersicht über Kusto-Abfragesprache (KQL).

Weitere Ressourcen:

Verwandte Inhalte

In diesem Dokument haben Sie erfahren, wie Sie Watchlists in Microsoft Sentinel verwenden, um Daten anzureichern und Untersuchungen zu verbessern. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln:

  • Last updated on