Volglijsten gebruiken in Microsoft Sentinel
Met volglijsten in Microsoft Sentinel kunt u gegevens uit een gegevensbron die u opgeeft correleren met de gebeurtenissen in uw Microsoft Sentinel-omgeving. U kunt bijvoorbeeld een volglijst maken met een lijst met waardevolle activa, beëindigde werknemers of serviceaccounts in uw omgeving.
Gebruik volglijsten in uw playbooks voor zoeken, detectieregels, opsporing van bedreigingen en antwoord.
Volglijsten worden opgeslagen in uw Microsoft Sentinel-werkruimte als naam-waardeparen en worden in de cache opgeslagen voor optimale queryprestaties en lage latentie.
Belangrijk
De functies voor volglijstsjablonen en de mogelijkheid om een volglijst te maken op basis van een bestand in Azure Storage zijn momenteel in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Wanneer volglijsten gebruiken
Gebruik volglijsten om u te helpen bij de volgende scenario's:
Onderzoek bedreigingen en reageer snel op incidenten met het snel importeren van IP-adressen, bestands-hashes en andere gegevens uit CSV-bestanden. Nadat u de gegevens hebt geïmporteerd, gebruikt u naam-waardeparen van volglijsten voor joins en filters in waarschuwingsregels, opsporing van bedreigingen, werkmappen, notebooks en algemene query's.
Zakelijke gegevens importeren als volglijst. Importeer bijvoorbeeld gebruikerslijsten met bevoegde systeemtoegang of beëindigde werknemers. Gebruik vervolgens de volglijst om acceptatie- en blokkeringslijsten te maken om te detecteren of te voorkomen dat deze gebruikers zich aanmelden bij het netwerk.
Verminder de vermoeidheid van waarschuwingen. Maak acceptatielijsten om waarschuwingen van een groep gebruikers te onderdrukken, zoals gebruikers van geautoriseerde IP-adressen die taken uitvoeren die normaal gesproken de waarschuwing activeren. Voorkomen dat goedaardige gebeurtenissen waarschuwingen worden.
Verrijk gebeurtenisgegevens. Gebruik volglijsten om uw gebeurtenisgegevens te verrijken met naam-waardecombinaties die zijn afgeleid van externe gegevensbronnen.
Beperkingen van volglijsten
Houd rekening met de volgende beperkingen voordat u een volglijst maakt:
- Het gebruik van volglijsten moet worden beperkt tot verwijzingen naar gegevens, omdat deze niet zijn ontworpen voor grote gegevensvolumes.
- Het totale aantal actieve volglijstitems in alle volglijsten in één werkruimte is momenteel beperkt tot 10 miljoen. Verwijderde volglijstitems tellen niet mee voor dit totaal. Als u de mogelijkheid nodig hebt om te verwijzen naar grote gegevensvolumes, kunt u deze opnemen met behulp van aangepaste logboeken .
- Er kan alleen vanuit dezelfde werkruimte naar watchlists worden verwezen. Scenario's met meerdere werkruimten en/of Lighthouse worden momenteel niet ondersteund.
- Uploaden van lokale bestanden is momenteel beperkt tot bestanden van maximaal 3,8 MB.
- Bestandsuploads vanuit een Azure Storage-account (in preview) zijn momenteel beperkt tot bestanden van maximaal 500 MB.
Opties voor het maken van volglijsten
Maak een volglijst in Microsoft Sentinel op basis van een bestand dat u uploadt vanuit een lokale map of vanuit een bestand in uw Azure Storage-account.
U hebt de mogelijkheid om een van de volglijstsjablonen van Microsoft Sentinel te downloaden om uw gegevens te vullen. Upload dat bestand vervolgens wanneer u de volglijst maakt in Microsoft Sentinel.
Als u een volglijst wilt maken van een groot bestand van maximaal 500 MB, uploadt u het bestand naar uw Azure Storage-account. Maak vervolgens een Shared Access Signature-URL voor Microsoft Sentinel om de volglijstgegevens op te halen. Een Shared Access Signature-URL is een URI die zowel de resource-URI als het shared access signature-token bevat van een resource, zoals een CSV-bestand in uw opslagaccount. Voeg ten slotte de volglijst toe aan uw werkruimte in Microsoft Sentinel.
Raadpleeg voor meer informatie de volgende artikelen:
- Volglijsten maken in Microsoft Sentinel
- Ingebouwde schema's voor volglijsten
- Azure Storage SAS-token
Volglijsten in query's voor zoekopdrachten en detectieregels
Query's uitvoeren op gegevens in een tabel op basis van gegevens uit een volglijst door de volglijst te behandelen als een tabel voor joins en zoekacties. Wanneer u een volglijst maakt, definieert u de SearchKey. De zoeksleutel is de naam van een kolom in uw volglijst die u verwacht te gebruiken als een join met andere gegevens of als een frequent object van zoekopdrachten. Stel dat u een volglijst voor servers hebt die de namen van landen en de bijbehorende tweeletterige landcodes bevat. U verwacht de landcodes vaak te gebruiken voor zoekopdrachten of joins. U gebruikt dus de kolom landcode als de zoeksleutel.
In de volgende voorbeeldquery wordt de RemoteIPCountry kolom in de Heartbeat tabel samengevoegd met de zoeksleutel die is gedefinieerd voor de volglijst met de naam mywatchlist.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
Laten we eens kijken naar enkele andere voorbeeldquery's.
Stel dat u een volglijst wilt gebruiken in een analyseregel. U maakt een volglijst met de naam ipwatchlist die kolommen voor IPAddress en Location bevat. U definieert 'IPAddress' als de zoeksleutel.
| IPAddress,Location |
|---|
| 10.0.100.11,Home |
| 172.16.107.23,Werk |
| 10.0.150.39,Home |
| 172.20.32.117,Werk |
Als u alleen gebeurtenissen van IP-adressen in de volglijst wilt opnemen, kunt u een query gebruiken waarbij volglijst wordt gebruikt als een variabele of waarbij de volglijst inline wordt gebruikt.
In de volgende voorbeeldquery wordt de volglijst als variabele gebruikt:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
In de volgende voorbeeldquery wordt de volglijst inline gebruikt met de query en de zoeksleutel die zijn gedefinieerd voor de volglijst.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
Zie Query's en detectieregels maken met volglijsten in Microsoft Sentinel voor meer informatie.
Volgende stappen
Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:
- Volglijsten maken
- Query's en detectieregels maken met volglijsten
- Volglijsten beheren
- Meer informatie over het verkrijgen van inzicht in uw gegevens en mogelijke bedreigingen.
- Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.
- Gebruik werkmappen om uw gegevens te bewaken.