Figyelőlisták a Microsoft Sentinelben

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

A Microsoft Sentinel figyelőlistái lehetővé teszik, hogy a Microsoft Sentinel-környezetben megadott adatforrásból származó adatokat korrelálja. Létrehozhat például egy figyelőlistát a környezetében lévő nagy értékű eszközök, megszüntetett alkalmazottak vagy szolgáltatásfiókok listájával.

Használjon figyelőlistákat a kereséshez, az észlelési szabályokhoz, a fenyegetéskereséshez és a válasz forgatókönyvekhez.

A figyelőlisták a Microsoft Sentinel-munkaterületen név-érték párokként vannak tárolva, és gyorsítótárazva vannak az optimális lekérdezési teljesítmény és az alacsony késés érdekében.

Fontos

A figyelőlistasablonok funkciói és a figyelőlisták Azure Storage-fájlból való létrehozásának lehetősége jelenleg ELŐZETES VERZIÓban érhető el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Mikor érdemes figyelőlistákat használni?

Figyelőlistákkal a következő forgatókönyvekben segíthet:

• Az IP-címek, fájlkivonatok és egyéb adatok CSV-fájlokból való gyors importálásával gyorsan kivizsgálhatja a fenyegetéseket és reagálhat az incidensekre. Az adatok importálása után használja a figyelőlista név-érték párjait a riasztási szabályok, a fenyegetéskeresés, a munkafüzetek, a jegyzetfüzetek és az általános lekérdezések illesztéseihez és szűrőihez.

• Üzleti adatok importálása figyelőlistaként. Importálhat például kiemelt rendszerhozzáféréssel rendelkező felhasználói listákat, vagy megszüntetett alkalmazottakat. Ezután a figyelőlistával engedélyezési listákat és tiltólistákat hozhat létre, amelyekkel észlelheti vagy megakadályozhatja, hogy ezek a felhasználók bejelentkezhessenek a hálózatra.

• Csökkentse a riasztások kifáradtságát. Olyan engedélyezési listákat hozhat létre, amelyek letiltják a felhasználók egy csoportjából érkező riasztásokat, például olyan engedélyezett IP-címekről származó felhasználókat, amelyek olyan feladatokat hajtanak végre, amelyek általában aktiválják a riasztást. A jóindulatú események riasztássá válásának megakadályozása.

• Eseményadatok bővítése. Figyelőlistákkal bővítheti eseményadatait külső adatforrásokból származó név-érték kombinációkkal.

A figyelőlisták korlátozásai

Figyelőlista létrehozása előtt vegye figyelembe a következő korlátozásokat:

• Figyelőlista létrehozásakor a figyelőlista nevének és aliasának 3 és 64 karakter közöttinek kell lennie. Az első és az utolsó karakternek alfanumerikusnak kell lennie. Az első és az utolsó karakter közé azonban belefoglalhat szóközöket, kötőjeleket és aláhúzásjeleket.
• A figyelőlistákat a referenciaadatokra kell korlátozni, mivel nem nagy adatmennyiségekhez vannak kialakítva.
• Az aktív figyelőlistaelemek teljes száma egy munkaterület összes figyelőlistáján jelenleg 10 millióra korlátozódik. A törölt figyelőlistaelemek nem számítanak bele ebbe az összegbe. Ha nagy adatkötetek hivatkozására van szüksége, fontolja meg az egyéni naplók használatával való betöltését.
• Az figyelőlisták 12 naponta frissülnek a munkaterületen, és frissítik a TimeGenerated mezőt.
• Jelenleg nem támogatott a Lighthouse használata a különböző munkaterületek figyelőlistáinak kezeléséhez.
• A helyi fájlfeltöltések jelenleg legfeljebb 3,8 MB méretű fájlokra korlátozódnak.
• Az Azure Storage-fiókból (előzetes verzióban) történő fájlfeltöltések jelenleg legfeljebb 500 MB méretű fájlokra korlátozódnak.
• A figyelőlistáknak ugyanazoknak az oszlop- és táblakorlátozásoknak kell megfelelniük, mint a KQL-entitásoknak. További információ: KQL-entitásnevek.

Figyelőlisták létrehozásának lehetőségei

Hozzon létre egy figyelőlistát a Microsoft Sentinelben egy helyi mappából vagy egy Azure Storage-fiókban lévő fájlból feltöltött fájlból.

Az adatok feltöltéséhez letöltheti az egyik figyelőlistasablont a Microsoft Sentinelből. Ezután töltse fel a fájlt, amikor létrehozza a figyelőlistát a Microsoft Sentinelben.

Ha akár 500 MB méretű nagyméretű fájlból szeretne figyelőlistát létrehozni, töltse fel a fájlt az Azure Storage-fiókjába. Ezután hozzon létre egy közös hozzáférésű jogosultságkód URL-címét a Microsoft Sentinel számára a figyelőlista adatainak lekéréséhez. A megosztott hozzáférésű jogosultságkód URL-címe egy olyan URI, amely az erőforrás URI-ját és a megosztott hozzáférésű jogosultságkód tokent is tartalmazza, például egy csv-fájlt a tárfiókban. Végül adja hozzá a figyelőlistát a munkaterülethez a Microsoft Sentinelben.

További információért tekintse át az alábbi cikkeket:

• Figyelőlisták létrehozása a Microsoft Sentinelben
• Beépített figyelőlista-sémák
• Azure Storage SAS-jogkivonat

Keresési és észlelési szabályok lekérdezéseinek figyelőlistái

Bármely táblában adatokat kérdezhet le egy figyelőlistáról származó adatokhoz, ha a figyelőlistát táblaként kezeli az illesztésekhez és a keresésekhez. Figyelőlista létrehozásakor meg kell határoznia a SearchKey-et. A keresési kulcs annak az oszlopnak a neve a figyelőlistán, amelyet más adatokkal való összekapcsolásként vagy gyakori keresési objektumként szeretne használni. Tegyük fel például, hogy van egy kiszolgálófigyelőlistája, amely tartalmazza az országneveket és a hozzájuk tartozó kétbetűs országkódokat. Az országkódokat gyakran kell használni keresésekhez vagy csatlakozásokhoz. Ezért az országkód oszlopot használja keresési kulcsként.

Az alábbi példa lekérdezés összekapcsolja a RemoteIPCountry tábla oszlopát a Heartbeat figyelőlistához mywatchlistdefiniált keresési kulccsal.

   Heartbeat
  | lookup kind=leftouter _GetWatchlist('mywatchlist') 
   on $left.RemoteIPCountry == $right.SearchKey

Nézzünk meg néhány más példa lekérdezést.

Tegyük fel, hogy egy elemzési szabályban figyelőlistát szeretne használni. Létre kell hoznia egy figyelőlistát, amelynek az ipwatchlist oszlopai és Locationa IPAddress . Keresési kulcsként definiálhatóIPAddress.

IPAddress,Location
10.0.100.11,Home
172.16.107.23,Work
10.0.150.39,Home
172.20.32.117,Work

Ha csak az IP-címekről származó eseményeket szeretné belefoglalni a figyelőlistára, használhat olyan lekérdezést, amelyben a figyelőlistát változóként használják, vagy ahol a figyelőlistát beágyazottan használják.

Az alábbi példa lekérdezés a figyelőlistát használja változóként:

  //Watchlist as a variable
  let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
  Heartbeat
  | where ComputerIP in (watchlist)

Az alábbi példa lekérdezés a figyelőlista beágyazott listáját használja a lekérdezéssel és a figyelőlistához definiált keresési kulccsal.

  //Watchlist inline with the query
  //Use SearchKey for the best performance
  Heartbeat
  | where ComputerIP in ( 
      (_GetWatchlist('ipwatchlist')
      | project SearchKey)
  )

További információ: Lekérdezések és észlelési szabályok létrehozása figyelőlistákkal a Microsoft Sentinelben.

Következő lépések

A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben:

• Figyelőlisták létrehozása
• Lekérdezések és észlelési szabályok létrehozása figyelőlistákkal
• Figyelőlisták kezelése
• Megtudhatja, hogyan ismerheti meg az adatokat és a potenciális fenyegetéseket.
• Ismerkedés a fenyegetések észlelésével a Microsoft Sentinellel.
• Munkafüzetek használatával monitorozza az adatokat.