Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Le watchlist in Microsoft Sentinel consentono agli analisti della sicurezza di correlare e arricchire in modo efficiente i dati degli eventi. Offrono un modo flessibile per gestire i dati di riferimento, ad esempio elenchi di asset di valore elevato o dipendenti terminati. Integrare watchlist nelle regole di rilevamento, nella ricerca delle minacce e nei flussi di lavoro di risposta per ridurre l'affaticamento degli avvisi e rispondere alle minacce più velocemente. Questo articolo illustra come usare watchlist in Microsoft Sentinel, descrive gli scenari e le limitazioni principali e fornisce indicazioni sulla creazione ed esecuzione di query sugli elenchi di controllo per migliorare le operazioni di sicurezza.
Usare le watchlist nei playbook di ricerca, delle regole di rilevamento, di ricerca delle minacce e in quelli di risposta. Le watchlist vengono archiviate nell'area di lavoro di Microsoft Sentinel nella Watchlist tabella come coppie nome-valore. Vengono memorizzati nella cache per ottenere prestazioni ottimali delle query e bassa latenza.
Importante
Le funzionalità per i modelli watchlist e la possibilità di creare un watchlist da un file in Archiviazione di Azure sono attualmente in ANTEPRIMA. Le condizioni supplementari per l'anteprima di Azure includono condizioni legali aggiuntive applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.
Quando usare le watchlist
Usare elenchi di controllo in questi scenari:
Analizzare le minacce e rispondere rapidamente agli eventi imprevisti importando indirizzi IP, hash di file e altri dati da file CSV. Dopo aver importato i dati, utilizzare coppie nome-valore della lista di controllo per eseguire join e filtri nelle regole di avviso, rilevamento delle minacce, cartelle di lavoro, notebook e query.
Importare i dati aziendali come lista di controllo. Ad esempio, importare elenchi di utenti con accesso al sistema con privilegi o elenchi di dipendenti terminati. Usare quindi l'elenco di controllo per creare elenchi di elementi consentiti e elenchi di blocchi per rilevare o impedire a tali utenti di accedere alla rete.
Ridurre l'affaticamento degli avvisi. Creare elenchi consentiti per eliminare gli avvisi da un gruppo di utenti, ad esempio gli utenti da indirizzi IP autorizzati che eseguono attività che normalmente attivano l'avviso. Impedire che eventi non dannosi diventino avvisi.
Arricchire i dati dell'evento. Usare watchlists per aggiungere combinazioni nome-valore da origini dati esterne ai dati dell'evento.
Limitazioni dell'elenco di controllo
Prima di creare watchlist, è consigliabile esaminare le limitazioni seguenti:
| Limitazione | Dettagli |
|---|---|
| Lunghezza del nome e dell'alias della watchlist | I nomi e gli alias watchlist devono essere compresi tra 3 e 64 caratteri. Il primo e l'ultimo carattere devono essere alfanumerici; spazi, trattini e caratteri di sottolineatura consentiti tra. |
| Uso previsto | Usare watchlist solo per i dati di riferimento. Le watchlist non sono progettate per volumi di dati di grandi dimensioni. |
| Numero massimo di elementi watchlist attivi | È possibile avere un massimo di 10 milioni di elementi watchlist attivi in tutte le watchlist in un'area di lavoro. Gli elementi eliminati non vengono conteggiati. Per volumi più grandi, usare i log personalizzati. |
| Conservazione dei dati | I dati nella tabella Watchlist di Log Analytics vengono conservati per 28 giorni. |
| Intervallo di aggiornamento | Gli elenchi di controllo vengono aggiornati ogni 12 giorni, aggiornando il TimeGenerated campo. |
| Gestione tra aree di lavoro | La gestione delle watchlist tra aree di lavoro con Azure Lighthouse non è supportata. |
| Dimensioni di caricamento file locali | I caricamenti di file locali sono limitati ai file fino a 3,8 MB. |
| Dimensioni di caricamento dei file di Archiviazione di Azure (anteprima) | I caricamenti di Archiviazione di Azure sono limitati ai file fino a 500 MB. |
| Restrizioni relative a colonne e tabelle | Gli elenchi di controllo devono seguire le restrizioni di denominazione delle entità KQL per colonne e nomi. |
Metodi di creazione dell'elenco di controllo di Microsoft Sentinel
Usare uno dei metodi seguenti per creare watchlist in Microsoft Sentinel:
Caricamento di un file da una cartella locale o dall'account di archiviazione di Azure.
Scaricare un modello watchlist da Microsoft Sentinel, aggiungere i dati e quindi caricare il file quando si crea l'elenco di controllo.
Per creare un watchlist da un file di grandi dimensioni (fino a 500 MB), caricare il file nell'account di archiviazione di Azure. Creare un URL di firma di accesso condiviso in modo che Microsoft Sentinel possa recuperare i dati watchlist. Un URL SAS include sia l'URI della risorsa sia il token SAS per una risorsa, ad esempio un file CSV nel tuo account di archiviazione. Aggiungi la watchlist alla tua area di lavoro in Microsoft Sentinel.
Per altre informazioni, vedere:
- Creare elenchi di controllo in Microsoft Sentinel
- Schemi di lista di controllo predefiniti
- Token SAS di Azure Storage
Watchlist nelle query per le ricerche e le regole di rilevamento
Per correlare i dati watchlist con altri dati di Microsoft Sentinel, usare operatori tabulari Kusto, join ad esempio e lookup con la Watchlist tabella. Microsoft Sentinel crea le funzioni seguenti nell'area di lavoro per fare riferimento ed eseguire query sulle watchlist:
-
_GetWatchlistAlias- restituisce gli alias di tutte le tue liste di controllo -
_GetWatchlist: esegue una query sulle coppie nome-valore dell'watchlist specificato
Quando si crea un watchlist, si definisce SearchKey. La chiave di ricerca è il nome di una colonna nella watchlist che si prevede di usare come join con altri dati o come oggetto frequente di ricerche. Si supponga, ad esempio, di avere un watchlist del server che contiene nomi di paese/area geografica e i rispettivi codici paese a due lettere. Si prevede di usare spesso i codici paese per le ricerche o i join. Quindi si usa la colonna del codice paese come chiave di ricerca.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
Verranno ora esaminate altre query di esempio.
Si supponga di voler usare un watchlist in una regola di analisi. Si crea un watchlist denominato ipwatchlist con le colonne per IPAddress e Location. Hai impostato IPAddress come SearchKey.
IPAddress,Location |
|---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
Per includere solo gli eventi degli indirizzi IP nell'elenco di controllo, è possibile usare una query in cui watchlist viene usata come variabile o inline.
Questa query di esempio usa l'watchlist come variabile:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
Questa query di esempio utilizza la watchlist inline con la query e la chiave di ricerca definita per la watchlist.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
Per altre informazioni, vedere Creare query e regole di rilevamento con watchlist in Microsoft Sentinel e gli articoli seguenti nella documentazione di Kusto:
- Operatore where
- progetto operatore
- Operatore lookup
- Operatore in
- istruzione di tipo 'let'
Per altre informazioni su KQL, vedere Panoramica del linguaggio di query Kusto (KQL).
Altre risorse:
Contenuti correlati
Per altre informazioni, vedere: