Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Les watchlists de Microsoft Sentinel aident les analystes de sécurité à mettre en corrélation et enrichir efficacement les données d’événement. Ils vous offrent un moyen flexible de gérer les données de référence, telles que des listes de ressources à valeur élevée ou des employés arrêtés. Intégrez des watchlists à vos règles de détection, à la chasse aux menaces et aux flux de travail de réponse pour réduire la fatigue des alertes et répondre aux menaces plus rapidement. Cet article explique comment utiliser des watchlists dans Microsoft Sentinel, décrit les principaux scénarios et limitations, et fournit des conseils sur la création et l’interrogation de watchlists pour améliorer vos opérations de sécurité.
Utilisez les watchlists dans votre recherche, vos règles de détection, votre chasse des menaces et vos playbooks de réponse. Les listes de surveillance sont stockées dans votre espace de travail Microsoft Sentinel dans la table Watchlist en tant que paires nom-valeur. Elles sont mises en cache pour des performances de requête optimales et une faible latence.
Important
Les fonctionnalités pour les modèles de Watchlist et la capacité à créer une Watchlist à partir d’un fichier dans Stockage Azure sont disponibles en préversion. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.
Quand utiliser les watchlists
Utilisez des watchlists dans ces scénarios :
Examinez rapidement les menaces et répondez aux incidents en important des adresses IP, des hachages de fichiers et d’autres données à partir de fichiers CSV. Après l’importation des données, vous utilisez les paires nom-valeur de la liste de suivi pour les jointures et les filtres dans les règles d’alerte, la chasse des menaces, les classeurs, les notebook et les requêtes.
Importer des données métier dans une watchlist. Par exemple, importez des listes d’utilisateurs avec un accès système privilégié ou des listes d’employés arrêtés. Ensuite, utilisez la watchlist pour créer des listes d’autorisation et des listes de blocage pour détecter ou empêcher ces utilisateurs de se connecter au réseau.
Réduire la fatigue d’alertes. Créez des listes d’autorisation pour supprimer les alertes d’un groupe d’utilisateurs, comme les utilisateurs des adresses IP autorisées qui effectuent des tâches qui déclenchent normalement l’alerte. Empêchez les événements bénins de devenir des alertes.
Enrichir les données d’événement. Utilisez des watchlists pour ajouter des combinaisons nom-valeur à partir de sources de données externes à vos données d’événement.
Limitations de la liste de surveillance
Nous vous recommandons de passer en revue les limitations suivantes avant de créer des watchlists :
| Limite | Détails |
|---|---|
| Nom de la liste de surveillance et longueur de l’alias | Les noms et pseudonymes de la liste de surveillance doivent être compris entre 3 et 64 caractères. Les premiers et les derniers caractères doivent être alphanumériques ; espaces, traits d’union et traits de soulignement autorisés entre. |
| Utilisation prévue | Utilisez les watchlists uniquement pour les données de référence. Les watchlists ne sont pas conçus pour les volumes de données volumineux. |
| Nombre maximal d’éléments de watchlist actifs | Vous pouvez avoir un maximum de 10 millions d’éléments de watchlist actifs sur toutes les watchlists d’un espace de travail. Les éléments supprimés ne sont pas comptabilisés. Pour les grands volumes, utilisez des journaux personnalisés. |
| Conservation des données | Les données de la table Watchlist Log Analytics sont conservées pendant 28 jours. |
| Intervalle d’actualisation | Les watchlists s’actualisent tous les 12 jours, mettant à jour le TimeGenerated champ. |
| Gestion inter-espaces de travail | La gestion des watchlists entre les espaces de travail à l’aide d’Azure Lighthouse n’est pas prise en charge. |
| Taille de chargement de fichier local | Les chargements de fichiers locaux sont limités aux fichiers allant jusqu’à 3,8 Mo. |
| Taille de chargement du fichier stockage Azure (préversion) | Les chargements de stockage Azure sont limités aux fichiers allant jusqu’à 500 Mo. |
| Restrictions relatives aux colonnes et aux tables | Les listes de suivi doivent respecter les restrictions de nommage d’entité KQL pour les colonnes et les noms. |
Méthodes de création de la liste de surveillance Microsoft Sentinel
Utilisez l’une des méthodes suivantes pour créer des watchlists dans Microsoft Sentinel :
Chargement d’un fichier à partir d’un dossier local ou à partir de votre compte de stockage Azure.
Téléchargez un modèle watchlist à partir de Microsoft Sentinel, ajoutez vos données, puis chargez le fichier lorsque vous créez la watchlist.
Pour créer une watchlist à partir d’un fichier volumineux (jusqu’à 500 Mo), chargez le fichier sur votre compte de stockage Azure. Créez une URL de signature d’accès partagé (SAP) afin que Microsoft Sentinel puisse récupérer les données de la liste de surveillance. Une URL SAP inclut à la fois l’URI de ressource et le jeton SAP d’une ressource, comme un fichier CSV dans votre compte de stockage. Ajoutez la watchlist à votre espace de travail dans Microsoft Sentinel.
Pour plus d’informations, consultez :
Watchlists dans les requêtes pour les recherches et les règles de détection
Pour mettre en corrélation les données de votre liste de suivi avec d’autres données de Microsoft Sentinel, utilisez les opérateurs tabulaires Kusto tels que join et lookup avec la table Watchlist. Microsoft Sentinel crée les fonctions suivantes dans l’espace de travail pour vous aider à référencer et à interroger vos watchlists :
-
_GetWatchlistAlias- retourne les alias de toutes vos watchlists -
_GetWatchlist– interroge les paires nom-valeur de la liste de suivi spécifiée
Quand vous créez une watchlist, vous définissez le SearchKey. La clé de recherche est le nom d’une colonne dans votre watchlist que vous voulez utiliser comme jointure avec d’autres données ou comme objet fréquent des recherches. Par exemple, supposons que vous avez une liste de surveillances de serveurs qui contient des noms de pays/régions et leurs indicatifs à deux lettres respectifs. Vous comptez utiliser souvent les indicatifs de pays pour des recherches ou des jointures. Vous utilisez donc la colonne d’indicatif de pays comme clé de recherche.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
Examinons d’autres exemples de requêtes.
Supposons que vous voulez utiliser une watchlist dans une règle analytique. Vous créez une watchlist appelée ipwatchlist avec des colonnes pour IPAddress et Location. Vous définissez IPAddress comme SearchKey.
IPAddress,Location |
|---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
Pour inclure uniquement des événements provenant d’adresses IP dans la liste de surveillance, vous pouvez utiliser une requête où watchlist elle est utilisée comme variable ou inline.
Cet exemple de requête utilise la watchlist comme variable :
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
Cet exemple de requête utilise la liste de surveillance incluse avec la requête et la clé de recherche définie pour la liste de surveillance.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
Pour plus d’informations, consultez Générer des requêtes et des règles de détection avec des watchlists dans Microsoft Sentinel et les articles suivants dans la documentation Kusto :
Pour découvrir plus d’informations sur KQL, consultez Vue d’ensemble du langage de requête Kusto (KQL).
Autres ressources :
Contenu connexe
Pour plus d’informations, consultez :