Query's of detectieregels bouwen met volglijsten in Microsoft Sentinel

Correleer uw volglijstgegevens met alle Microsoft Sentinel-gegevens met tabellaire Kusto-operators, zoals join en lookup. Wanneer u een volglijst maakt, definieert u de SearchKey. De zoeksleutel is de naam van een kolom in uw volglijst die u verwacht te gebruiken als join met andere gegevens of als een frequent object van zoekopdrachten.

Voor optimale queryprestaties gebruikt u SearchKey als sleutel bij uw join-queries.

Belangrijk

Microsoft Sentinel is algemeen beschikbaar in de Microsoft Defender-portal, waaronder voor klanten zonder Microsoft Defender XDR of een E5-licentie.

Vanaf juli 2026 worden alle klanten die Microsoft Sentinel in Azure Portal gebruiken, omgeleid naar de Defender-portal en gebruiken ze alleen Microsoft Sentinel in de Defender-portal. Vanaf juli 2025 worden veel nieuwe klanten automatisch onboarden en omgeleid naar de Defender portal.

Als u Nog steeds Microsoft Sentinel gebruikt in Azure Portal, raden we u aan om te beginnen met het plannen van uw overgang naar de Defender-portal om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden aangeboden. Zie Het is tijd om te verplaatsen voor meer informatie: De Azure-portal van Microsoft Sentinel buiten gebruik stellen voor betere beveiliging.

Query's bouwen met volglijsten

Als u een volglijst in een zoekquery wilt gebruiken, schrijft u een Kusto-query die gebruikmaakt van de functie _GetWatchlist('watchlist-name') en gebruikt u SearchKey als sleutel voor uw join.

1. Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Configuration>Watchlist. Selecteer voor Microsoft Sentinel in Azure Portal onder Configuratiede optie Volglijst.

2. Selecteer de volglijst die u wilt gebruiken.

3. Selecteer Weergeven in logboeken.

   

4. Bekijk het tabblad Resultaten . De items in de volglijst worden automatisch geëxtraheerd voor uw query.

   In het onderstaande voorbeeld ziet u de resultaten van de extractie van de velden Naam en IP-adres . De SearchKey wordt weergegeven als een eigen kolom.

   

   De tijdstempel voor uw query's wordt genegeerd in zowel de querygebruikersinterface als in geplande waarschuwingen.

5. Schrijf een query die gebruikmaakt van de functie _GetWatchlist('watchlist-name') en gebruik SearchKey als sleutel voor uw join.

   Met de volgende voorbeeldquery wordt bijvoorbeeld de RemoteIPCountry kolom in de Heartbeat tabel samengevoegd met de zoeksleutel die is gedefinieerd voor de volglijst met de naam mywatchlist.

   Heartbeat
   | lookup kind=leftouter _GetWatchlist('mywatchlist') 
    on $left.RemoteIPCountry == $right.SearchKey
   

   In de volgende afbeelding ziet u de resultaten van deze voorbeeldquery in Log Analytics.

   

Een analyseregel maken met een volglijst

Als u volglijsten wilt gebruiken in analyseregels, maakt u een regel met behulp van de functie _GetWatchlist('watchlist-name') in de query.

1. Selecteer Analyse onder Configuratie.

2. Selecteer Maken en het type regel dat u wilt maken.

3. Voer op het tabblad Algemeen de juiste informatie in.

4. Gebruik op het tabblad Regellogica instellen onder Regelquery de _GetWatchlist('<watchlist>') functie in de query.

   Stel dat u een volglijst hebt met de naam ipwatchlist die u hebt gemaakt op basis van een CSV-bestand met de volgende waarden:

   IPAddress,Location
   10.0.100.11,Home
   172.16.107.23,Work
   10.0.150.39,Home
   172.20.32.117,Work

   Het CSV-bestand ziet er ongeveer als volgt uit.

   Als u de _GetWatchlist functie voor dit voorbeeld wilt gebruiken, zou uw query zijn _GetWatchlist('ipwatchlist').

   

   In dit voorbeeld bevatten we alleen gebeurtenissen van IP-adressen in de volglijst:

   //Watchlist as a variable
   let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
   Heartbeat
   | where ComputerIP in (watchlist)
   

   In de volgende voorbeeldquery wordt de volglijst inline gebruikt met de query en de zoeksleutel die is gedefinieerd voor de volglijst.

   //Watchlist inline with the query
   //Use SearchKey for the best performance
   Heartbeat
   | where ComputerIP in ( 
       (_GetWatchlist('ipwatchlist')
       | project SearchKey)
   )
   

   In de volgende afbeelding ziet u deze laatste query die in de regelquery wordt gebruikt.

   

5. Voltooi de rest van de tabbladen in de Wizard voor Analyseregels.

Volglijsten worden elke 12 dagen vernieuwd in uw werkruimte, waarbij het TimeGenerated veld wordt bijgewerkt. Zie Aangepaste analyseregels maken om bedreigingen te detecteren voor meer informatie.

Lijst met watchlist-aliassen weergeven

Mogelijk moet u een lijst met watchlistaliassen zien om een volglijst te identificeren die moet worden gebruikt in een query- of analyseregel.

1. Voor Microsoft Sentinel in Azure Portal selecteert u Logboeken onder Algemeen.
   Selecteer In de Defender-portalonderzoek en antwoord>opsporing>geavanceerde opsporing.

2. Voer op de pagina Nieuwe query de volgende query uit: _GetWatchlistAlias

3. Bekijk de lijst met aliassen op het tabblad Resultaten .

   

Zie de Kusto-documentatie voor meer informatie over de volgende items die in de voorgaande voorbeelden worden gebruikt:

• where-operator
• project-operator
• opzoekoperator
• in operator
• let-instructie

Zie het overzicht van Kusto Query Language (KQL) voor meer informatie over KQL.

Andere resources:

• KQL-snelzoekgids
• Leerbronnen voor Kusto-querytaal

Gerelateerde inhoud

In dit document hebt u geleerd hoe u volglijsten in Microsoft Sentinel kunt gebruiken om gegevens te verrijken en onderzoeken te verbeteren. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:

• Volglijsten maken
• Meer informatie over hoe u inzicht krijgt in uw gegevens en potentiële bedreigingen.
• Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.
• Werkmappen gebruiken om uw gegevens te bewaken.