Partage via


Watchlists dans Microsoft Sentinel

Les watchlists dans Microsoft Sentinel vous permettent de mettre en corrélation les données d’une source de données que vous fournissez avec les événements de votre environnement Microsoft Sentinel. Par exemple, vous pouvez créer une watchlist avec une liste des ressources de grande valeur, des employés licenciés ou des comptes de service dans votre environnement.

Utilisez les watchlists dans votre recherche, vos règles de détection, votre chasse des menaces et vos playbooks de réponse.

Les watchlists sont stockées dans votre espace de travail Microsoft Azure Sentinel en tant que paires nom-valeur, et mises en cache afin d’offrir des performances de requête optimales et une faible latence.

Important

Les fonctionnalités pour les modèles de Watchlist et la capacité à créer une Watchlist à partir d’un fichier dans Stockage Azure sont disponibles en préversion. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.

Quand utiliser les watchlists

Utilisez les watchlists pour vous aider dans les scénarios suivants :

  • Investiguer les menaces et répondre aux incidents rapidement avec l’importation rapide d’adresses IP, de hachages de fichiers et d’autres données à partir de fichiers CSV. Après l’importation des données, vous utilisez les paires nom-valeur de la watchlist pour les jointures et les filtres dans les règles d’alerte, la chasse des menaces, les classeurs, les notebook et les requêtes générales.

  • Importer des données métier dans une watchlist. Par exemple, importez des listes d’utilisateurs avec un accès système privilégié ou des employés licenciés. Ensuite, utilisez la watchlist pour créer des listes d’autorisation et des listes de refus afin de détecter les utilisateurs qui se connectent au réseau ou les en empêcher.

  • Réduire la fatigue d’alertes. Créer des listes d’autorisation pour supprimer les alertes d’un groupe d’utilisateurs, par exemple, les utilisateurs d’adresses IP autorisées qui effectuent des tâches qui déclenchent normalement l’alerte. Empêchez les événements bénins de devenir des alertes.

  • Enrichir les données d’événement. Utilisez les Watchlists pour enrichir vos données d’événement avec des combinaisons nom-valeur dérivées de sources de données externes.

Limitations des watchlists

Avant de créer une watchlist, tenez compte des limitations suivantes :

  • Lorsque vous créez une watchlist, le nom et l’alias de la watchlist doivent chacun inclure entre 3 et 64 caractères. Le premier et le dernier caractères doivent être alphanumériques. Toutefois, vous pouvez inclure des espaces blancs, des traits d’union et des traits de soulignement entre le premier et le dernier caractère.
  • L’utilisation des watchlists doit être limitée aux données de référence, car elles ne sont pas conçues pour les grands volumes de données.
  • Le nombre total d’éléments Watchlist actifs dans l’ensemble des watchlists d’un même espace de travail est actuellement limité à 10 millions. Les éléments de watchlist supprimés ne sont pas comptés dans ce total. Si vous avez besoin de la possibilité de faire référence à de grands volumes de données, envisagez plutôt l’ingestion de journaux personnalisés.
  • Les Watchlists sont actualisées dans votre espace de travail tous les 12 jours, mettant à jour le champ TimeGenerated.
  • L’utilisation de Lighthouse pour gérer les Watchlists entre différents espaces de travail n’est pas prise en charge pour le moment.
  • Les chargements de fichiers locaux sont limités à des fichiers d’une taille maximale de 3,8 Mo.
  • Les chargements de fichiers à partir d’un compte Stockage Azure (en version préliminaire) sont actuellement limités à des fichiers d’une taille maximale de 500 Mo.
  • Les Watchlists doivent respecter les mêmes restrictions de colonnes et de tables que les entités KQL. Pour plus d’informations, consultez Noms d’entités KQL.

Options de création de watchlists

Créez une watchlist dans Microsoft Sentinel à partir d’un fichier que vous chargez depuis un dossier local ou un fichier dans votre compte Stockage Azure.

Vous avez la possibilité de télécharger l’un des modèles de Watchlist à partir de Microsoft Sentinel en vue de le remplir avec vos données. Ensuite, chargez ce fichier quand vous créez la watchlist dans Microsoft Sentinel.

Pour créer une watchlist à partir d’un grand fichier d’une taille maximale de 500 Mo, chargez le fichier sur votre compte Stockage Azure. Créez ensuite une URL de signature d’accès partagé pour que Microsoft Sentinel récupère les données Watchlist. Une URL de signature d’accès partagé est un URI qui contient à la fois l’URI de ressource et le jeton de signature d’accès partagé d’une ressource, tel qu’un fichier CSV dans votre compte de stockage. Enfin, ajoutez la Watchlist à votre espace de travail dans Microsoft Sentinel.

Pour plus d’informations, consultez les articles suivants :

Watchlists dans les requêtes pour les recherches et les règles de détection

Interrogez les données de n’importe quelle table par rapport aux données d’une watchlist en traitant la watchlist comme une table pour les jointures et les recherches. Quand vous créez une watchlist, vous définissez le SearchKey. La clé de recherche est le nom d’une colonne dans votre watchlist que vous voulez utiliser comme jointure avec d’autres données ou comme objet fréquent des recherches. Par exemple, supposons que vous avez une watchlist de serveur qui contient des noms de pays et leurs indicatifs à deux lettres. Vous comptez utiliser souvent les indicatifs de pays pour des recherches ou des jointures. Vous utilisez donc la colonne d’indicatif de pays comme clé de recherche.

L’exemple de requête suivant joint la colonne RemoteIPCountry de la table Heartbeat avec la clé de recherche définie pour la Watchlist nommée mywatchlist.

   Heartbeat
  | lookup kind=leftouter _GetWatchlist('mywatchlist') 
   on $left.RemoteIPCountry == $right.SearchKey

Voyons d’autres exemples de requêtes.

Supposons que vous voulez utiliser une watchlist dans une règle analytique. Vous créez une Watchlist appelée ipwatchlist qui inclut des colonnes pour IPAddress et Location. Vous définissez IPAddress comme SearchKey.

IPAddress,Location
10.0.100.11,Home
172.16.107.23,Work
10.0.150.39,Home
172.20.32.117,Work

Pour ajouter uniquement les événements des adresses IP dans la watchlist, vous pouvez utiliser une requête où la watchlist est utilisée comme variable ou inline.

L’exemple de requête suivant utilise la watchlist comme variable :

  //Watchlist as a variable
  let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
  Heartbeat
  | where ComputerIP in (watchlist)

L’exemple de requête suivant utilise la watchlist inline avec la requête et la clé de recherche définie pour la watchlist.

  //Watchlist inline with the query
  //Use SearchKey for the best performance
  Heartbeat
  | where ComputerIP in ( 
      (_GetWatchlist('ipwatchlist')
      | project SearchKey)
  )

Pour plus d’informations, consultez Créer des requêtes et des règles de détection avec des watchlists dans Microsoft Sentinel.

Étapes suivantes

Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :