Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Volglijsten in Microsoft Sentinel helpen beveiligingsanalisten om gebeurtenisgegevens efficiënt te correleren en verrijken. Ze bieden u een flexibele manier om referentiegegevens te beheren, zoals lijsten met hoogwaardige activa of beëindigde werknemers. Integreer volglijsten in uw detectieregels, opsporing van bedreigingen en reactiewerkstromen om de vermoeidheid van waarschuwingen te verminderen en sneller te reageren op bedreigingen. In dit artikel wordt uitgelegd hoe u volglijsten in Microsoft Sentinel gebruikt, belangrijke scenario's en beperkingen beschrijft en richtlijnen biedt voor het maken en opvragen van volglijsten om uw beveiligingsbewerkingen te verbeteren.
Volglijsten gebruiken in uw playbooks voor zoekopdrachten, detectieregels, opsporing van bedreigingen en antwoord. Volglijsten worden opgeslagen in uw Microsoft Sentinel-werkruimte in de Watchlist tabel als naam-waardeparen. Ze worden in de cache opgeslagen voor optimale queryprestaties en lage latentie.
Belangrijk
De functies voor volglijstsjablonen en de mogelijkheid om een volglijst te maken op basis van een bestand in Azure Storage, zijn momenteel in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Wanneer u volglijsten gebruikt
Volglijsten gebruiken in deze scenario's:
Onderzoek bedreigingen en reageer snel op incidenten door IP-adressen, bestands-hashes en andere gegevens uit CSV-bestanden te importeren. Nadat u de gegevens hebt geïmporteerd, gebruikt u naam-waardeparen van de watchlist voor joins en filters in waarschuwingsregels, het opsporen van bedreigingen, werkmappen, notebooks en query's.
Zakelijke gegevens importeren als volglijst. Importeer bijvoorbeeld gebruikerslijsten met bevoegde systeemtoegang of lijsten met beëindigde werknemers. Gebruik vervolgens de volglijst om acceptatielijsten en bloklijsten te maken om te detecteren of te voorkomen dat deze gebruikers zich aanmelden bij het netwerk.
Verminder de vermoeidheid van waarschuwingen. Maak acceptatielijsten om waarschuwingen van een groep gebruikers te onderdrukken, zoals gebruikers van geautoriseerde IP-adressen die taken uitvoeren die normaal gesproken de waarschuwing zouden activeren. Voorkomen dat goedaardige gebeurtenissen waarschuwingen worden.
Gebeurtenisgegevens verrijken. Volglijsten gebruiken om combinaties van naamwaarden uit externe gegevensbronnen toe te voegen aan uw gebeurtenisgegevens.
Beperkingen voor volglijsten
We raden u aan de volgende beperkingen te bekijken voordat u volglijsten maakt:
| Beperking | Bijzonderheden |
|---|---|
| Volglijstnaam en aliaslengte | Namen en aliassen van volglijsten moeten tussen 3 en 64 tekens zijn. De eerste en laatste tekens moeten alfanumeriek zijn; spaties, afbreekstreepjes en liggende streepjes zijn alleen toegestaan tussen de tekens. |
| Bedoeld gebruik | Gebruik volglijsten alleen voor referentiegegevens. Volglijsten zijn niet ontworpen voor grote gegevensvolumes. |
| Maximum aantal actieve watchlist-items | U kunt maximaal 10 miljoen actieve watchlist-items in alle volglijsten in een werkruimte hebben. Verwijderde items tellen niet. Gebruik aangepaste logboeken voor grotere volumes. |
| Gegevensretentie | Gegevens in de Log Analytics Watchlist-tabel worden 28 dagen bewaard. |
| Vernieuwingsinterval | Volglijsten worden elke 12 dagen vernieuwd, waarbij het TimeGenerated veld wordt bijgewerkt. |
| Beheer van meerdere werkruimten | Het beheren van volglijsten in werkruimten met behulp van Azure Lighthouse wordt niet ondersteund. |
| Bestandsgrootte voor lokale upload | Lokale bestandsuploads zijn beperkt tot bestanden van maximaal 3,8 MB. |
| Uploadgrootte van Azure Storage-bestanden (preview) | Uploads van Azure Storage zijn beperkt tot bestanden van maximaal 500 MB. |
| Beperkingen voor kolommen en tabellen | Volg de naamgevingsbeperkingen voor KQL-entiteiten voor kolommen en namen. |
Methoden voor het maken van een Volglijst voor Microsoft Sentinel
Gebruik een van de volgende methoden om volglijsten te maken in Microsoft Sentinel:
Een bestand uploaden vanuit een lokale map of vanuit uw Azure Storage-account.
Download een volglijstsjabloon van Microsoft Sentinel, voeg uw gegevens toe en upload het bestand wanneer u de volglijst maakt.
Als u een volglijst wilt maken van een groot bestand (maximaal 500 MB), uploadt u het bestand naar uw Azure Storage-account. Maak een SAS-URL (Shared Access Signature), zodat Microsoft Sentinel de volglijstgegevens kan ophalen. Een SAS-URL bevat zowel de resource-URI als het SAS-token voor een resource, zoals een CSV-bestand in uw opslagaccount. Voeg de volglijst toe aan uw werkruimte in Microsoft Sentinel.
Voor meer informatie, zie:
Volglijsten in query's voor zoek- en detectieregels
Als u uw volglijstgegevens wilt correleren met andere Microsoft Sentinel-gegevens, gebruikt u Tabellaire Kusto-operators zoals join en lookup met de Watchlist tabel. Microsoft Sentinel maakt de volgende functies in de werkruimte om te verwijzen naar uw volglijsten en er query's op uit te voeren:
-
_GetWatchlistAlias- geeft de aliassen van al uw volglijsten terug -
_GetWatchlist- voert een query uit op de naam-waardeparen van de opgegeven volglijst
Wanneer u een volglijst maakt, definieert u de SearchKey. De zoeksleutel is de naam van een kolom in uw volglijst die u verwacht te gebruiken als join met andere gegevens of als een frequent object van zoekopdrachten. Stel dat u een server-watchlist hebt die land-/regionamen en de bijbehorende landcodes van twee letters bevat. U verwacht dat u de landcodes vaak gebruikt voor zoekopdrachten of joins. U gebruikt dus de kolom landcode als de zoeksleutel.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
Laten we eens kijken naar enkele andere voorbeeldquery's.
Stel dat u een volglijst wilt gebruiken in een analyseregel. U maakt een volglijst ipwatchlist met kolommen voor IPAddress en Location. U stelt IPAddress in als de SearchKey.
IPAddress,Location |
|---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
Als u alleen gebeurtenissen van IP-adressen in de volglijst wilt opnemen, kunt u een query gebruiken waarbij watchlist deze wordt gebruikt als variabele of inline.
In deze voorbeeldquery wordt de volglijst als variabele gebruikt:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
In deze voorbeeldquery wordt de volglijst rechtstreeks in de query gebruikt, samen met de zoeksleutel die voor de volglijst is gedefinieerd.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
Zie Query's en detectieregels maken met volglijsten in Microsoft Sentinel en de volgende artikelen in de Kusto-documentatie voor meer informatie:
Zie het overzicht van Kusto-querytaal (KQL) voor meer informatie over KQL.
Andere resources:
Verwante inhoud
Voor meer informatie, zie: