Daftar tonton di Microsoft Azure Sentinel
Daftar pantauan di Microsoft Sentinel memungkinkan Anda menghubungkan data dari sumber data yang Anda berikan dengan peristiwa di lingkungan Microsoft Sentinel Anda. Misalnya, Anda dapat membuat daftar tonton dengan daftar aset bernilai tinggi, karyawan yang diberhentikan, atau akun layanan di lingkungan Anda.
Gunakan daftar tonton dalam playbook pencarian, aturan deteksi, perburuan ancaman, dan respons Anda.
Daftar pantauan disimpan di ruang kerja Microsoft Azure Sentinel sebagai pasangan nama-nilai dan di-cache untuk mencapai performa kueri yang optimal dan latensi rendah.
Penting
Fitur untuk template daftar tonton dan kemampuan untuk membuat daftar tonton dari file di Azure Storage saat ini ada di PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Kapan menggunakan daftar tonton
Gunakan daftar tonton untuk membantu Anda dengan skenario berikut:
Selidiki ancaman dan respons insiden dengan cepat dengan impor alamat IP yang cepat, hash file, dan data lain dari file CSV. Setelah Anda mengimpor data, gunakan pasangan nama-nilai daftar tonton untuk gabungan dan filter dalam aturan pemberitahuan, perburuan ancaman, buku kerja, buku catatan, dan kueri umum.
Impor data bisnis sebagai daftar tonton. Misalnya, impor daftar pengguna dengan akses sistem dengan hak istimewa, atau karyawan yang diberhentikan. Lalu, gunakan daftar tonton untuk membuat daftar izin dan daftar blokir untuk mendeteksi atau mencegah agar pengguna tersebut tidak masuk ke jaringan.
Kurangi kelelahan pemberitahuan. Buat daftar izin untuk menyembunyikan pemberitahuan dari sekelompok pengguna, seperti pengguna dari alamat IP resmi yang melakukan tugas yang biasanya memicu pemberitahuan. Mencegah peristiwa yang tidak berbahaya menjadi pemberitahuan.
Memperkaya data peristiwa. Gunakan daftar pengawasan untuk memperkaya data kejadian Anda dengan kombinasi nama-nilai yang berasal dari sumber data eksternal.
Batasan daftar tonton
Sebelum Anda membuat daftar tonton, perhatikan batasan berikut:
- Saat Anda membuat daftar pengawasan, nama daftar pengawasan dan alias masing-masing harus antara 3 dan 64 karakter. Karakter pertama dan terakhir harus alfanumerik. Tetapi Anda dapat menyertakan spasi kosong, tanda hubung, dan garis bawah di antara karakter pertama dan terakhir.
- Penggunaan daftar tonton harus dibatasi pada data referensi, karena tidak dirancang untuk volume data yang besar.
- Jumlah total item daftar pengawasan aktif di semua daftar pengawasan dalam satu ruang kerja saat ini dibatasi hingga 10 juta. Item daftar tonton yang dihapus tidak dihitung. Jika Anda memerlukan kemampuan untuk merujuk volume data besar, sebaiknya pertimbangkan untuk menyerapnya menggunakan log kustom.
- Daftar tonton di-refresh di ruang kerja Anda setiap 12 hari, memperbarui
TimeGenerated
bidang. - Menggunakan Lighthouse untuk mengelola daftar pengawasan di berbagai ruang kerja tidak didukung saat ini.
- Unggah file lokal saat ini terbatas pada file berukuran hingga 3,8 MB.
- Pengunggahan file dari akun Azure Storage (dalam pratinjau) saat ini terbatas pada file berukuran hingga 500 MB.
- Daftar pengawasan harus mematuhi pembatasan kolom dan tabel yang sama dengan entitas KQL. Untuk informasi selengkapnya, lihat Nama entitas KQL.
Opsi untuk membuat daftar tonton
Buat daftar tonton di Microsoft Sentinel dari file yang Anda unggah dari folder lokal atau dari file di akun Azure Storage Anda.
Anda memiliki opsi untuk mengunduh salah satu template daftar tonton dari Microsoft Sentinel yang akan diisi dengan data Anda. Kemudian unggah file itu saat Anda membuat daftar pantauan di Microsoft Sentinel.
Untuk membuat daftar tonton dari file besar yang berukuran hingga 500 MB, unggah file ke akun Azure Storage Anda. Kemudian buat URL tanda tangan akses bersama untuk Microsoft Sentinel untuk mengambil data daftar pantauan. URL tanda tangan akses bersama adalah URI yang berisi URI sumber daya dan token tanda tangan akses bersama dari sumber daya seperti file csv di akun penyimpanan Anda. Terakhir, tambahkan daftar tonton ke ruang kerja Anda di Microsoft Sentinel.
Untuk informasi lebih lanjut, baca artikel berikut:
Daftar tonton dalam kueri untuk aturan pencarian dan deteksi
Data kueri di tabel mana pun terhadap data dari daftar tonton dengan memperlakukan daftar tonton sebagai tabel untuk gabungan dan pencarian. Saat membuat daftar tonton, Anda akan menentukan SearchKey. Kunci pencarian adalah nama kolom dalam daftar tonton yang ingin Anda gunakan sebagai gabungan dengan data lain atau objek pencarian yang sering. Misalnya, Anda memiliki daftar tonton server yang berisi nama negara dan kode negara dua huruf masing-masing. Anda berharap untuk sering menggunakan kode negara untuk pencarian atau gabungan. Jadi Anda menggunakan kolom kode negara sebagai kunci pencarian.
Contoh kueri berikut menggabungkan RemoteIPCountry
kolom dalam Heartbeat
tabel dengan kunci pencarian yang ditentukan untuk daftar pengawasan bernama mywatchlist
.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
Mari kita lihat beberapa contoh kueri lainnya.
Misalkan Anda ingin menggunakan daftar tonton dalam aturan analitik. Anda membuat daftar pengawasan yang disebut ipwatchlist
yang menyertakan kolom untuk IPAddress
dan Location
. Anda mendefinisikan IPAddress
sebagai SearchKey.
IPAddress,Location |
---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
Untuk hanya menyertakan peristiwa dari alamat IP dalam daftar tonton, Anda dapat menggunakan kueri tempat daftar tonton digunakan sebagai variabel atau tempat daftar tonton digunakan sebaris.
Kueri contoh berikut menggunakan daftar tonton sebagai variabel:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
Kueri contoh berikut menggunakan daftar tonton yang sebaris dengan kueri dan kunci pencarian yang ditentukan untuk daftar tonton.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
Untuk informasi selengkapnya, lihat Membuat kueri dan aturan deteksi dengan daftar tonton di Microsoft Sentinel.
Langkah berikutnya
Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut: