Membuat kueri atau aturan deteksi dengan daftar tonton di Microsoft Sentinel

  • Artikel
  • Berlaku untuk:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Data kueri di tabel mana pun terhadap data dari daftar tonton dengan memperlakukan daftar tonton sebagai tabel untuk gabungan dan pencarian. Saat membuat daftar tonton, Anda akan menentukan SearchKey. Kunci pencarian adalah nama kolom dalam daftar tonton yang ingin Anda gunakan sebagai gabungan dengan data lain atau objek pencarian yang sering.

Untuk performa kueri yang optimal, gunakan SearchKey sebagai kunci untuk gabungan dalam kueri Anda.

Penting

Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Membuat kueri dengan daftar tonton

Untuk menggunakan daftar tonton dalam kueri penelusuran, tulis kueri Kusto yang menggunakan fungsi _GetWatchlist('nama daftar tonton') dan menggunakan SearchKey sebagai kunci untuk bergabung.

  1. Untuk Microsoft Azure Sentinel di portal Azure, di bawah Konfigurasi, pilih Daftar Tonton.
    Untuk Microsoft Azure Sentinel di portal Defender, pilih Daftar Pengawasan Konfigurasi>Microsoft Sentinel>.

  2. Pilih daftar tonton yang ingin Anda gunakan.

  3. Pilih Tampilkan di Log.

    Cuplikan layar yang memperlihatkan cara menggunakan daftar pengawasan dalam kueri.

  4. Tinjau tab Hasil. Item dalam daftar tonton Anda diekstraksi secara otomatis untuk kueri Anda.

    Contoh di bawah ini menunjukkan hasil ekstraksi bidang Name dan Alamat IP. SearchKey ditampilkan sebagai kolomnya sendiri.

    Cuplikan layar yang memperlihatkan kueri dengan bidang daftar pengawasan.

    Tanda waktu pada kueri Anda akan diabaikan di antarmuka pengguna kueri dan dalam pemberitahuan terjadwal.

  5. Tulis kueri yang menggunakan fungsi _GetWatchlist('nama daftar tonton') dan gunakan SearchKey sebagai kunci untuk bergabung.

    Misalnya, kueri contoh berikut menggabungkan RemoteIPCountry kolom dalam Heartbeat tabel dengan kunci pencarian yang ditentukan untuk daftar pengawasan bernama mywatchlist.

    Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist') 
 on $left.RemoteIPCountry == $right.SearchKey

    Gambar berikut menunjukkan hasil kueri contoh ini di Log Analytics.

    Cuplikan layar kueri terhadap daftar pengawasan sebagai pencarian.

Membuat aturan analitik dengan daftar tonton

Untuk menggunakan daftar tonton dalam aturan analitik, buat aturan menggunakan fungsi _GetWatchlist('nama daftar tonton') dalam kueri.

  1. Di bawah Konfigurasi, pilih Analytics.

  2. Pilih Buat dan sebagai tipe aturan yang ingin Anda buat.

  3. Pada tab Umum , masukkan informasi yang sesuai.

  4. Pada tab Atur logika aturan, di bawah Kueri aturan gunakan fungsi _GetWatchlist('<watchlist>') dalam kueri.

    Misalnya, Anda memiliki daftar pengawasan bernama ipwatchlist yang Anda buat dari file CSV dengan nilai berikut:

    IPAddress,Location
    10.0.100.11,Home
    172.16.107.23,Work
    10.0.150.39,Home
    172.20.32.117,Work

    File CSV terlihat seperti gambar berikut. Cuplikan layar empat item dalam file CSV yang digunakan untuk daftar pengawasan.

    Untuk menggunakan fungsi _GetWatchlist untuk contoh ini, kueri Anda adalah _GetWatchlist('ipwatchlist').

    Cuplikan layar yang memperlihatkan kueri mengembalikan empat item dari daftar pengawasan.

    Dalam contoh ini, kami hanya menyertakan peristiwa dari alamat IP dalam daftar pengawasan:

    //Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)

    Kueri contoh berikut menggunakan daftar tonton yang sebaris dengan kueri dan kunci pencarian yang ditentukan untuk daftar tonton.

    //Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in ( 
    (_GetWatchlist('ipwatchlist')
    | project SearchKey)
)

    Gambar berikut menunjukkan kueri terakhir yang digunakan dalam kueri aturan.

    Cuplikan layar yang memperlihatkan cara menggunakan daftar pengawasan dalam aturan analitik.

  5. Selesaikan sisa tab di panduan aturan Analytics.

Daftar tonton di-refresh di ruang kerja Anda setiap 12 hari, memperbarui TimeGenerated bidang. Untuk informasi selengkapnya, lihat Membuat aturan analitik kustom untuk mendeteksi ancaman.

Menampilkan daftar alias daftar tonton

Anda mungkin perlu melihat daftar alias daftar pantauan untuk mengidentifikasi daftar pantauan untuk digunakan dalam aturan kueri atau analitik.

  1. Untuk Microsoft Azure Sentinel di portal Azure, di bawah Umum, pilih Log.
    Di portal Defender, pilih Investigasi & respons>Berburu Lanjutan.>

  2. Pada halaman Kueri Baru, jalankan kueri berikut: _GetWatchlistAlias.

  3. Ulas daftar alias di tab Hasil.

    Cuplikan layar yang menampilkan daftar daftar pengawasan.

Konten terkait

Dalam dokumen ini, Anda mempelajari cara menggunakan daftar pengawasan di Microsoft Sentinel untuk memperkaya data dan meningkatkan penyelidikan. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut: