Membuat kueri atau aturan deteksi dengan daftar tonton di Microsoft Sentinel
Data kueri di tabel mana pun terhadap data dari daftar tonton dengan memperlakukan daftar tonton sebagai tabel untuk gabungan dan pencarian. Saat membuat daftar tonton, Anda akan menentukan SearchKey. Kunci pencarian adalah nama kolom dalam daftar tonton yang ingin Anda gunakan sebagai gabungan dengan data lain atau objek pencarian yang sering.
Untuk performa kueri yang optimal, gunakan SearchKey sebagai kunci untuk gabungan dalam kueri Anda.
Penting
Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.
Membuat kueri dengan daftar tonton
Untuk menggunakan daftar tonton dalam kueri penelusuran, tulis kueri Kusto yang menggunakan fungsi _GetWatchlist('nama daftar tonton') dan menggunakan SearchKey sebagai kunci untuk bergabung.
Untuk Microsoft Azure Sentinel di portal Azure, di bawah Konfigurasi, pilih Daftar Tonton.
Untuk Microsoft Azure Sentinel di portal Defender, pilih Daftar Pengawasan Konfigurasi>Microsoft Sentinel>.Pilih daftar tonton yang ingin Anda gunakan.
Pilih Tampilkan di Log.
Tinjau tab Hasil. Item dalam daftar tonton Anda diekstraksi secara otomatis untuk kueri Anda.
Contoh di bawah ini menunjukkan hasil ekstraksi bidang Name dan Alamat IP. SearchKey ditampilkan sebagai kolomnya sendiri.
Tanda waktu pada kueri Anda akan diabaikan di antarmuka pengguna kueri dan dalam pemberitahuan terjadwal.
Tulis kueri yang menggunakan fungsi _GetWatchlist('nama daftar tonton') dan gunakan SearchKey sebagai kunci untuk bergabung.
Misalnya, kueri contoh berikut menggabungkan
RemoteIPCountry
kolom dalamHeartbeat
tabel dengan kunci pencarian yang ditentukan untuk daftar pengawasan bernamamywatchlist
.Heartbeat | lookup kind=leftouter _GetWatchlist('mywatchlist') on $left.RemoteIPCountry == $right.SearchKey
Gambar berikut menunjukkan hasil kueri contoh ini di Log Analytics.
Membuat aturan analitik dengan daftar tonton
Untuk menggunakan daftar tonton dalam aturan analitik, buat aturan menggunakan fungsi _GetWatchlist('nama daftar tonton') dalam kueri.
Di bawah Konfigurasi, pilih Analytics.
Pilih Buat dan sebagai tipe aturan yang ingin Anda buat.
Pada tab Umum , masukkan informasi yang sesuai.
Pada tab Atur logika aturan, di bawah Kueri aturan gunakan fungsi
_GetWatchlist('<watchlist>')
dalam kueri.Misalnya, Anda memiliki daftar pengawasan bernama
ipwatchlist
yang Anda buat dari file CSV dengan nilai berikut:IPAddress,Location
10.0.100.11,Home
172.16.107.23,Work
10.0.150.39,Home
172.20.32.117,Work
File CSV terlihat seperti gambar berikut.
Untuk menggunakan fungsi
_GetWatchlist
untuk contoh ini, kueri Anda adalah_GetWatchlist('ipwatchlist')
.Dalam contoh ini, kami hanya menyertakan peristiwa dari alamat IP dalam daftar pengawasan:
//Watchlist as a variable let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress); Heartbeat | where ComputerIP in (watchlist)
Kueri contoh berikut menggunakan daftar tonton yang sebaris dengan kueri dan kunci pencarian yang ditentukan untuk daftar tonton.
//Watchlist inline with the query //Use SearchKey for the best performance Heartbeat | where ComputerIP in ( (_GetWatchlist('ipwatchlist') | project SearchKey) )
Gambar berikut menunjukkan kueri terakhir yang digunakan dalam kueri aturan.
Selesaikan sisa tab di panduan aturan Analytics.
Daftar tonton di-refresh di ruang kerja Anda setiap 12 hari, memperbarui TimeGenerated
bidang. Untuk informasi selengkapnya, lihat Membuat aturan analitik kustom untuk mendeteksi ancaman.
Menampilkan daftar alias daftar tonton
Anda mungkin perlu melihat daftar alias daftar pantauan untuk mengidentifikasi daftar pantauan untuk digunakan dalam aturan kueri atau analitik.
Untuk Microsoft Azure Sentinel di portal Azure, di bawah Umum, pilih Log.
Di portal Defender, pilih Investigasi & respons>Berburu Lanjutan.>Pada halaman Kueri Baru, jalankan kueri berikut:
_GetWatchlistAlias
.Ulas daftar alias di tab Hasil.
Konten terkait
Dalam dokumen ini, Anda mempelajari cara menggunakan daftar pengawasan di Microsoft Sentinel untuk memperkaya data dan meningkatkan penyelidikan. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut:
- Membuat daftar tonton
- Pelajari cara mendapatkan visibilitas ke data Anda dan potensi ancaman.
- Mulai mendeteksi ancaman dengan Microsoft Azure Sentinel.
- Gunakan buku kerja untuk memantau data Anda.