Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal
Met volglijsten in Microsoft Sentinel kunt u gegevens correleren vanuit een gegevensbron die u verstrekt met de gebeurtenissen in uw Microsoft Sentinel-omgeving. U kunt bijvoorbeeld een volglijst maken met een lijst met hoogwaardige assets, beëindigde werknemers of serviceaccounts in uw omgeving.
Volglijsten gebruiken in uw playbooks voor zoekopdrachten, detectieregels, opsporing van bedreigingen en antwoord.
Volglijsten worden opgeslagen in uw Microsoft Sentinel-werkruimte in de Watchlist tabel als naam-waardeparen en worden in de cache opgeslagen voor optimale queryprestaties en lage latentie.
Belangrijk
De functies voor volglijstsjablonen en de mogelijkheid om een volglijst te maken op basis van een bestand in Azure Storage, zijn momenteel in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Wanneer u volglijsten gebruikt
Volglijsten gebruiken om u te helpen bij de volgende scenario's:
Onderzoek bedreigingen en reageer snel op incidenten met de snelle import van IP-adressen, bestands-hashes en andere gegevens uit CSV-bestanden. Nadat u de gegevens hebt geïmporteerd, gebruikt u naam-waardeparen voor volglijsten voor joins en filters in waarschuwingsregels, opsporing van bedreigingen, werkmappen, notebooks en algemene query's.
Zakelijke gegevens importeren als volglijst. Importeer bijvoorbeeld gebruikerslijsten met bevoegde systeemtoegang of beëindigde werknemers. Gebruik vervolgens de volglijst om acceptatielijsten en bloklijsten te maken om te detecteren of te voorkomen dat die gebruikers zich aanmelden bij het netwerk.
Verminder de vermoeidheid van waarschuwingen. Maak acceptatielijsten om waarschuwingen van een groep gebruikers te onderdrukken, zoals gebruikers van geautoriseerde IP-adressen die taken uitvoeren die normaal gesproken de waarschuwing activeren. Voorkomen dat goedaardige gebeurtenissen waarschuwingen worden.
Gebeurtenisgegevens verrijken. Volglijsten gebruiken om uw gebeurtenisgegevens te verrijken met combinaties van naamwaarden die zijn afgeleid van externe gegevensbronnen.
Beperkingen van volglijsten
Voordat u een volglijst maakt, moet u rekening houden met de volgende beperkingen:
Wanneer u een volglijst maakt, moeten de naam en alias van de volglijst tussen 3 en 64 tekens zijn. Het eerste en laatste teken moeten alfanumeriek zijn. U kunt echter spaties, afbreekstreepjes en onderstrepingstekens tussen de eerste en laatste tekens opnemen.
Het gebruik van volglijsten moet worden beperkt tot referentiegegevens, omdat ze niet zijn ontworpen voor grote gegevensvolumes.
Het totale aantal actieve watchlist-items in alle watchlists in één werkruimte is momenteel beperkt tot 10 miljoen. Verwijderde volglijstitems tellen niet mee voor dit totaal. Als u de mogelijkheid nodig hebt om te verwijzen naar grote gegevensvolumes, kunt u overwegen om ze op te nemen met behulp van aangepaste logboeken .
Volglijsten worden elke 12 dagen vernieuwd in uw werkruimte, waarbij het TimeGenerated veld wordt bijgewerkt.
Het gebruik van Lighthouse voor het beheren van watchlists in verschillende werkruimten wordt momenteel niet ondersteund.
Lokale bestandsuploads zijn momenteel beperkt tot bestanden van maximaal 3,8 MB.
Bestandsuploads vanuit een Azure Storage-account (in preview) zijn momenteel beperkt tot bestanden van maximaal 500 MB.
Volglijsten moeten voldoen aan dezelfde kolom- en tabelbeperkingen als KQL-entiteiten. Zie KQL-entiteitsnamen voor meer informatie.
Opties voor het maken van volglijsten
Maak een volglijst in Microsoft Sentinel vanuit een bestand dat u uploadt vanuit een lokale map of vanuit een bestand in uw Azure Storage-account.
U kunt een van de volglijstsjablonen van Microsoft Sentinel downloaden om uw gegevens te vullen. Upload dat bestand vervolgens wanneer u de volglijst in Microsoft Sentinel maakt.
Als u een volglijst wilt maken van een groot bestand dat maximaal 500 MB groot is, uploadt u het bestand naar uw Azure Storage-account. Maak vervolgens een handtekening-URL voor gedeelde toegang voor Microsoft Sentinel om de volglijstgegevens op te halen. Een handtekening-URL voor gedeelde toegang is een URI die zowel de resource-URI als het Shared Access Signature-token van een resource bevat, zoals een CSV-bestand in uw opslagaccount. Voeg tot slot de volglijst toe aan uw werkruimte in Microsoft Sentinel.
Raadpleeg voor meer informatie de volgende artikelen:
Volglijsten in query's voor zoek- en detectieregels
Als u uw volglijstgegevens wilt correleren met andere Microsoft Sentinel-gegevens, gebruikt u Tabellaire Kusto-operators zoals join en lookup met de Watchlist tabel. Microsoft Sentinel maakt twee functies in de werkruimte om te verwijzen naar uw volglijsten en er query's op uit te voeren.
_GetWatchlistAlias - retourneert gewoon de aliassen van al uw watchlists
_GetWatchlist - voert een query uit op de naam-waardeparen van de opgegeven volglijst
Wanneer u een volglijst maakt, definieert u de SearchKey. De zoeksleutel is de naam van een kolom in uw volglijst die u verwacht te gebruiken als join met andere gegevens of als een frequent object van zoekopdrachten. Stel dat u een server-watchlist hebt die land-/regionamen en de bijbehorende landcodes van twee letters bevat. U verwacht dat u de landcodes vaak gebruikt voor zoekopdrachten of joins. U gebruikt dus de kolom landcode als de zoeksleutel.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
Laten we enkele andere voorbeeldquery's bekijken.
Stel dat u een volglijst wilt gebruiken in een analyseregel. U maakt een volglijst met de naam ipwatchlist kolommen voor IPAddress en Location. U definieert IPAddress als de SearchKey.
IPAddress,Location
10.0.100.11,Home
172.16.107.23,Work
10.0.150.39,Home
172.20.32.117,Work
Als u alleen gebeurtenissen van IP-adressen in de volglijst wilt opnemen, kunt u een query gebruiken waarbij watchlist deze wordt gebruikt als variabele of waar de volglijst inline wordt gebruikt.
In de volgende voorbeeldquery wordt de volglijst als variabele gebruikt:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
In de volgende voorbeeldquery wordt de volglijst inline gebruikt met de query en de zoeksleutel die is gedefinieerd voor de volglijst.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)