Uso de listas de reproducción en Microsoft Sentinel

Las listas de control en Microsoft Sentinel le permiten correlacionar los datos de un origen de datos que proporcione con los eventos del entorno de Microsoft Sentinel. Por ejemplo, puede crear una lista de seguimiento con una lista de recursos de alto valor, de empleados que ya no trabajen para usted o de cuentas de servicio en su entorno.

Use estas listas en sus búsquedas, reglas de detección, búsqueda de amenazas y cuadernos de estrategias de respuesta.

Las listas de seguimiento se almacenan en el área de trabajo de Microsoft Sentinel como pares de nombre-valor y se almacenan en caché para obtener un rendimiento óptimo de las consultas y una baja latencia.

Importante

Las características de las plantillas de lista de reproducción y la capacidad de crear una lista de reproducción a partir de un archivo en Azure Storage se encuentran actualmente en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Cuándo usar las listas de seguimiento

Use las listas de seguimiento como ayuda en estos escenarios:

  • Investigación de amenazas y respuesta a los incidentes con una importación rápida de direcciones IP, hashes de archivo y otros datos provenientes de archivos .csv. Una vez que importa los datos, puede usar los pares nombre-valor de las listas de seguimiento para combinaciones y filtros en reglas de alerta, búsqueda de amenazas, libros, cuadernos y consultas generales.

  • Importación de datos empresariales como una lista de seguimiento. Por ejemplo, importar listas de usuarios con acceso con privilegios al sistema, o bien empleados terminados. Luego, use la lista de seguimiento para crear listas de permitidos y listas de bloqueados para detectar o impedir que esos usuarios inicien sesión en la red.

  • Reducción de la fatiga por alerta. Cree listas de permitidos para suprimir las alertas de un grupo de usuarios, como usuarios de direcciones IP autorizadas que realizan tareas que generalmente desencadenarían la alerta. Evite que los eventos benignos se conviertan en alertas.

  • Enriquecimiento de datos de eventos. Use listas de seguimiento para enriquecer los datos de eventos con combinaciones de nombre-valor obtenidas de orígenes de datos externos.

Limitaciones de las listas de seguimiento

Antes de crear una lista de seguimiento, tenga en cuenta estas limitaciones:

  • El uso de listas de seguimiento debe limitarse a los datos de referencia, ya que no están diseñadas para volúmenes de datos de gran tamaño.
  • El número total de elementos activos de todas las listas de seguimiento de una sola área de trabajo está limitado actualmente a 10 millones. Los elementos eliminados no se tienen en cuenta en este total. Si necesita hacer referencia a grandes volúmenes de datos, considere la posibilidad de ingerirlos usando registros personalizados.
  • Las listas de seguimiento se actualizan en el área de trabajo cada 12 días, actualizando el campo TimeGenerated.
  • En este momento no se admite el uso de Lighthouse para administrar listas de seguimiento en distintas áreas de trabajo.
  • Las cargas de archivos locales están limitadas actualmente a archivos de hasta 3,8 MB de tamaño.
  • Las cargas de archivos desde una cuenta de Azure Storage (en versión preliminar) están limitadas actualmente a archivos de hasta 500 MB de tamaño.
  • Las listas de seguimiento deben cumplir las mismas restricciones de columna y tabla que las entidades KQL. Para más información, consulte Nombres de entidades KQL.

Opciones para crear listas de seguimiento

Cree una lista de control en Microsoft Sentinel a partir de un archivo que cargue desde una carpeta local o un archivo de la cuenta de Azure Storage.

Tiene la opción de descargar una de las plantillas de lista de control de Microsoft Sentinel para rellenarla con los datos. A continuación, cargue ese archivo al crear la lista de control en Microsoft Sentinel.

Para crear una lista de control a partir de un archivo grande con un tamaño de hasta 500 MB, cargue el archivo en la cuenta de Azure Storage. A continuación, cree una dirección URL de firma de acceso compartido para que Microsoft Sentinel recupere los datos de la lista de control. Una dirección URL de firma de acceso compartido es un identificador URI que contiene tanto el identificador URI del recurso como un token de firma de acceso compartido de un recurso, como un archivo .csv en la cuenta de almacenamiento. Por último, agregue la lista de control al área de trabajo en Microsoft Sentinel.

Para más información, consulte los siguientes artículos.

Listas de seguimiento en consultas para búsquedas y reglas de detección

Consulte los datos de cualquier tabla comparándolos con los datos de una lista de reproducción tratando a esta última como una tabla de combinaciones y búsquedas. Cuando crea una lista de seguimiento, debe definir la SearchKey. La clave de búsqueda es el nombre de una columna en la lista de seguimiento que espera usar como combinación con otros datos o como objeto frecuente de búsquedas. Por ejemplo, supongamos que tiene una lista de seguimiento de servidores que contiene nombres de países y los códigos de país de dos letras correspondientes. Espera usar los códigos de país a menudo para búsquedas o combinaciones. Por lo tanto, usa la columna de código de país como clave de búsqueda.

En la consulta de ejemplo siguiente, la columna RemoteIPCountry de la tabla Heartbeat se une con la clave de búsqueda definida para la lista de seguimiento denominada "mywatchlist".

   Heartbeat
  | lookup kind=leftouter _GetWatchlist('mywatchlist') 
   on $left.RemoteIPCountry == $right.SearchKey

Echemos un vistazo a otras consultas de ejemplo.

Supongamos que quiere usar una lista de seguimiento en una regla de análisis. Cree una lista de seguimiento denominada "ipwatchlist" que incluya columnas para "IPAddress" y "Location". Se define "IPAddress" como clave de búsqueda.

IPAddress,Location
10.0.100.11,Home
172.16.107.23,Work
10.0.150.39,Home
172.20.32.117,Work

Para incluir solo eventos de direcciones IP en la lista de seguimiento, puede usar una consulta en la que la lista de seguimiento se usa como variable o donde se usa alineada.

En la consulta de ejemplo siguiente se usa la lista de seguimiento como una variable:

  //Watchlist as a variable
  let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
  Heartbeat
  | where ComputerIP in (watchlist)

En la consulta de ejemplo siguiente se usa la lista de seguimiento en línea con la consulta y la clave de búsqueda definida para la lista de seguimiento.

  //Watchlist inline with the query
  //Use SearchKey for the best performance
  Heartbeat
  | where ComputerIP in ( 
      (_GetWatchlist('ipwatchlist')
      | project SearchKey)
  )

Para más información, consulte Creación de consultas o reglas de detección con listas de seguimiento en Microsoft Sentinel.

Pasos siguientes

Para más información sobre Microsoft Sentinel, consulte los siguientes artículos: