Creare query o regole di rilevamento con watchlist in Microsoft Sentinel
Eseguire query sui dati di qualsiasi tabella rispetto ai dati di un watchlist considerando l'elenco di controllo come tabella per join e ricerche. Quando si crea un watchlist, si definisce SearchKey. La chiave di ricerca è il nome di una colonna nell'elenco di controllo che si prevede di usare come join con altri dati o come oggetto frequente di ricerche.
Per ottenere prestazioni ottimali delle query, usare SearchKey come chiave per i join nelle query.
Importante
Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Creare query con watchlist
Per usare un watchlist nella query di ricerca, scrivere una query Kusto che usa la funzione _GetWatchlist('watchlist-name') e usa SearchKey come chiave per il join.
Per Microsoft Sentinel nella portale di Azure, in Configurazione selezionare Watchlist.
Per Microsoft Sentinel nel portale di Defender selezionare Elenco di controllo della configurazione>di Microsoft Sentinel.>Selezionare l'elenco di controllo da usare.
Selezionare Visualizza nei log.
Esaminare la scheda Risultati . Gli elementi nell'elenco di controllo vengono estratti automaticamente per la query.
L'esempio seguente mostra i risultati dell'estrazione dei campi Nome e Indirizzo IP. SearchKey viene visualizzato come colonna propria.
Il timestamp sulle query verrà ignorato sia nell'interfaccia utente della query che negli avvisi pianificati.
Scrivere una query che usa la funzione _GetWatchlist('watchlist-name') e usa SearchKey come chiave per il join.
Ad esempio, la query di esempio seguente unisce la
RemoteIPCountry
colonna nellaHeartbeat
tabella con la chiave di ricerca definita per l'watchlist denominatamywatchlist
.Heartbeat | lookup kind=leftouter _GetWatchlist('mywatchlist') on $left.RemoteIPCountry == $right.SearchKey
L'immagine seguente mostra i risultati di questa query di esempio in Log Analytics.
Creare una regola di analisi con un watchlist
Per usare watchlist nelle regole di analisi, creare una regola usando la funzione _GetWatchlist('watchlist-name') nella query.
In Configurazione selezionare Analisi.
Selezionare Crea e il tipo di regola da creare.
Nella scheda Generale immettere le informazioni appropriate.
Nella scheda Imposta logica delle regole, in Query regola usare la
_GetWatchlist('<watchlist>')
funzione nella query.Si supponga, ad esempio, di avere un watchlist denominato
ipwatchlist
creato da un file CSV con i valori seguenti:IPAddress,Location
10.0.100.11,Home
172.16.107.23,Work
10.0.150.39,Home
172.20.32.117,Work
Il file CSV è simile all'immagine seguente.
Per usare la
_GetWatchlist
funzione per questo esempio, la query sarà_GetWatchlist('ipwatchlist')
.In questo esempio vengono inclusi solo gli eventi degli indirizzi IP nell'elenco di controllo:
//Watchlist as a variable let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress); Heartbeat | where ComputerIP in (watchlist)
La query di esempio seguente usa l'elenco di controllo inline con la query e la chiave di ricerca definita per l'watchlist.
//Watchlist inline with the query //Use SearchKey for the best performance Heartbeat | where ComputerIP in ( (_GetWatchlist('ipwatchlist') | project SearchKey) )
L'immagine seguente mostra questa ultima query usata nella query della regola.
Completare le altre schede della procedura guidata per le regole di Analisi.
Gli elenchi di controllo vengono aggiornati nell'area di lavoro ogni 12 giorni, aggiornando il TimeGenerated
campo. Per altre informazioni, vedere Creare regole di analisi personalizzate per rilevare le minacce.
Visualizzare l'elenco di alias watchlist
Potrebbe essere necessario visualizzare un elenco di alias watchlist per identificare un watchlist da usare in una regola di query o analisi.
Per Microsoft Sentinel nella portale di Azure, in Generale selezionare Log.
Nel portale di Defender selezionare Ricerca avanzata indagine>e risposta.>Nella pagina Nuova query eseguire la query seguente:
_GetWatchlistAlias
.Esaminare l'elenco di alias nella scheda Risultati .
Contenuto correlato
In questo documento si è appreso come usare watchlist in Microsoft Sentinel per arricchire i dati e migliorare le indagini. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:
- Creare watchlist
- Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
- Introduzione al rilevamento delle minacce con Microsoft Sentinel.
- Usare le cartelle di lavoro per monitorare i dati.