Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A Microsoft Sentinel figyelőlistái segítenek a biztonsági elemzőknek hatékonyan korrelálni és gazdagítani az eseményadatokat. Rugalmas módot biztosítanak a referenciaadatok, például a nagy értékű eszközök vagy a megszüntetett alkalmazottak listájának kezelésére. Figyelőlisták integrálása az észlelési szabályokba, fenyegetéskeresési és válasz-munkafolyamatokba a riasztások kifáradásának csökkentése és a fenyegetésekre való gyorsabb reagálás érdekében. Ez a cikk bemutatja, hogyan használhat figyelőlistákat a Microsoft Sentinelben, ismerteti a főbb forgatókönyveket és korlátozásokat, és útmutatást nyújt a figyelőlisták létrehozásához és lekérdezéséhez a biztonsági műveletek javítása érdekében.
Használjon figyelőlistákat a kereséshez, az észlelési szabályokhoz, a fenyegetéskereséshez és a válasz forgatókönyvekhez. A figyelőlistákat név-érték párokként tárolja a Watchlist tábla Microsoft Sentinel-munkaterülete. Az optimális lekérdezési teljesítmény és az alacsony késés érdekében gyorsítótárban tárolják őket.
Fontos
A figyelőlistasablonok funkciói és a figyelőlisták Azure Storage-fájlból való létrehozásának lehetősége jelenleg ELŐZETES VERZIÓban érhető el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Mikor érdemes figyelőlistákat használni?
Az alábbi forgatókönyvekben használjon figyelőlistákat:
Az IP-címek, fájlkivonatok és egyéb adatok CSV-fájlokból való importálásával gyorsan kivizsgálhatja a fenyegetéseket, és gyorsan reagálhat az incidensekre. Az adatok importálása után használja a figyelőlista név-érték párjait a riasztási szabályok, a fenyegetéskeresés, a munkafüzetek, a jegyzetfüzetek és a lekérdezések illesztéséhez és szűrőihez.
Üzleti adatok importálása figyelőlistaként. Importálhatja például a kiemelt rendszerhozzáféréssel rendelkező felhasználói listákat vagy a leállított alkalmazottak listáját. Ezután a figyelőlistával engedélyezési listákat és tiltólistákat hozhat létre, amelyekkel észlelheti vagy megakadályozhatja, hogy ezek a felhasználók bejelentkezhessenek a hálózatra.
Csökkentse a riasztások kifáradtságát. Olyan engedélyezési listákat hozhat létre, amelyek letiltják a felhasználók egy csoportjából érkező riasztásokat, például az engedélyezett IP-címekről származó felhasználókat, akik olyan feladatokat hajtanak végre, amelyek általában aktiválják a riasztást. A jóindulatú események riasztássá válásának megakadályozása.
Eseményadatok bővítése. A figyelőlisták segítségével külső adatforrásokból származó név-érték kombinációkat adhat hozzá az eseményadatokhoz.
Figyelőlista korlátozásai
A figyelőlisták létrehozása előtt javasoljuk, hogy tekintse át az alábbi korlátozásokat:
| Korlátozás | Részletek |
|---|---|
| Figyelőlista neve és alias hossza | A figyelőlista nevének és aliasainak 3 és 64 karakter közöttinek kell lenniük. Az első és utolsó karakternek alfanumerikusnak kell lennie; a szóközök, kötőjelek és alsóvonások megengedettek közöttük. |
| Tervezett használat | Csak referenciaadatokhoz használjon figyelőlistákat. Az figyelőlistákat nem nagy adatkötetekhez tervezték. |
| Aktív figyelőlistaelemek maximális száma | Egy munkaterület összes figyelőlistáján legfeljebb 10 millió aktív figyelőlistaelem lehet. A törölt elemek nem számítanak. Nagyobb kötetek esetén használjon egyéni naplókat. |
| Adatmegőrzés | A Log Analytics Figyelőlista táblában lévő adatok 28 napig maradnak meg. |
| Frissítési időköz | A figyelőlisták 12 naponta frissülnek, és frissítik a TimeGenerated mezőt. |
| Munkaterületek közötti felügyelet | A munkaterületek figyelőlistáinak Azure Lighthouse-beli kezelése nem támogatott. |
| Helyi fájlfeltöltés mérete | A helyi fájlfeltöltés legfeljebb 3,8 MB méretű fájlokra korlátozódik. |
| Azure Storage-fájlfeltöltés mérete (előzetes verzió) | Az Azure Storage-feltöltések legfeljebb 500 MB méretű fájlokra korlátozódnak. |
| Oszlop- és táblakorlátozások | A figyelőlistáknak követnie kell a KQL-entitások elnevezési korlátozásait az oszlopok és nevek esetében. |
Microsoft Sentinel figyelőlista létrehozási módszerei
Az alábbi módszerek egyikével hozhat létre figyelőlistákat a Microsoft Sentinelben:
Fájl feltöltése egy helyi mappából vagy az Azure Storage-fiókból.
Töltse le a figyelőlistasablont a Microsoft Sentinelből, adja hozzá az adatokat, majd töltse fel a fájlt a figyelőlista létrehozásakor.
Ha egy nagy fájlból (legfeljebb 500 MB)figyelőlistát szeretne létrehozni, töltse fel a fájlt az Azure Storage-fiókjába. Hozzon létre egy közös hozzáférésű jogosultságkód (SAS) URL-címet, hogy a Microsoft Sentinel lekérhesse a figyelőlista adatait. A SAS URL-cím tartalmazza az erőforrás URI-ját és az erőforrás SAS-jogkivonatát is, például egy CSV-fájlt a tárfiókban. Adja hozzá a figyelőlistát a munkaterülethez a Microsoft Sentinelben.
További információkért lásd:
- Figyelőlisták létrehozása a Microsoft Sentinelben
- Beépített figyelőlista-sémák
- Azure Storage SAS-jogkivonat
Keresési és észlelési szabályok lekérdezéseinek figyelőlistái
Ha a figyelőlista adatait más Microsoft Sentinel-adatokkal szeretné korrelálni, használja a Kusto táblázatos operátorait, például join a lookup táblázatot.Watchlist A Microsoft Sentinel a következő függvényeket hozza létre a munkaterületen a figyelőlisták hivatkozásához és lekérdezéséhez:
-
_GetWatchlistAlias- az összes figyelőlista aliasát adja vissza -
_GetWatchlist- lekérdezi a megadott figyelőlista név-érték párjait
Figyelőlista létrehozásakor meg kell határoznia a SearchKey-et. A keresési kulcs annak az oszlopnak a neve a figyelőlistán, amelyet más adatokkal való összekapcsolásként vagy gyakori keresési objektumként szeretne használni. Tegyük fel például, hogy van egy kiszolgálófigyelőlistája, amely ország-/régióneveket és a hozzájuk tartozó kétbetűs országkódokat tartalmaz. Az országkódokat gyakran kell használni keresésekhez vagy csatlakozásokhoz. Ezért az országkód oszlopot használja keresési kulcsként.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
Tekintsünk meg néhány más példa lekérdezést.
Tegyük fel, hogy egy elemzési szabályban figyelőlistát szeretne használni. Létrehoz egy figyelőlistát ipwatchlist, amely oszlopokat tartalmaz a IPAddress és a Location számára. "IPAddress beállítottad keresési kulcsként."
IPAddress,Location |
|---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
Ha csak az IP-címekről származó eseményeket szeretné belefoglalni a figyelőlistára, használhat egy lekérdezést, ahol watchlist változóként vagy beágyazottként használják.
Ez a példa lekérdezés a figyelőlistát használja változóként:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
Ez a példa lekérdezés a figyelőlistát közvetlenül a lekérdezésbe integrálja és a figyelőlistához meghatározott keresési kulcsot használja.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
További információ: Lekérdezések és észlelési szabályok létrehozása figyelőlistákkal a Microsoft Sentinelben , valamint a Kusto dokumentációjának alábbi cikkei:
A KQL-ről további információt a Kusto lekérdezésnyelv (KQL) áttekintésében talál.
Egyéb erőforrások:
Kapcsolódó tartalom
További információkért lásd: