Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Volglijsten in Microsoft Sentinel helpen beveiligingsanalisten om gebeurtenisgegevens efficiënt te correleren en te verrijken. Ze bieden u een flexibele manier om referentiegegevens te beheren, zoals lijsten met waardevolle activa of beëindigde werknemers. Integreer volglijsten in uw detectieregels, opsporing van bedreigingen en reactiewerkstromen om de vermoeidheid van waarschuwingen te verminderen en sneller op bedreigingen te reageren. In dit artikel wordt uitgelegd hoe u watchlists gebruikt in Microsoft Sentinel, worden belangrijke scenario's en beperkingen beschreven en worden richtlijnen gegeven voor het maken en opvragen van volglijsten om uw beveiligingsbewerkingen te verbeteren.
Gebruik volglijsten in uw playbooks voor zoeken, detectieregels, opsporing van bedreigingen en antwoord. Volglijsten worden in uw Microsoft Sentinel werkruimte in de Watchlist tabel opgeslagen als naam-waardeparen. Ze worden in de cache opgeslagen voor optimale queryprestaties en lage latentie.
Belangrijk
De functies voor volglijstsjablonen en de mogelijkheid om een volglijst te maken op basis van een bestand in Azure Storage zijn momenteel beschikbaar als PREVIEW. De aanvullende voorwaarden voor Azure preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure functies die in bètaversie, preview of anderszins nog niet algemeen beschikbaar zijn.
Wanneer volglijsten gebruiken
Volglijsten gebruiken in deze scenario's:
Onderzoek bedreigingen en reageer snel op incidenten door IP-adressen, bestands-hashes en andere gegevens uit CSV-bestanden te importeren. Nadat u de gegevens hebt geïmporteerd, gebruikt u watchlist name-value-paren voor joins en filters in waarschuwingsregels, opsporing van bedreigingen, werkmappen, notebooks en query's.
Zakelijke gegevens importeren als volglijst. Importeer bijvoorbeeld gebruikerslijsten met bevoegde systeemtoegang of lijsten met beëindigde werknemers. Gebruik vervolgens de volglijst om acceptatielijsten en blokkeringen te maken om te detecteren of te voorkomen dat deze gebruikers zich aanmelden bij het netwerk.
Verminder de vermoeidheid van waarschuwingen. Maak acceptatielijsten om waarschuwingen van een groep gebruikers te onderdrukken, zoals gebruikers van geautoriseerde IP-adressen die taken uitvoeren die normaal gesproken de waarschuwing zouden activeren. Voorkomen dat goedaardige gebeurtenissen waarschuwingen worden.
Verrijk gebeurtenisgegevens. Gebruik volglijsten om naam-waardecombinaties uit externe gegevensbronnen toe te voegen aan uw gebeurtenisgegevens.
Beperkingen van volglijst
We raden u aan de volgende beperkingen te bekijken voordat u volglijsten maakt:
| Beperking | Details |
|---|---|
| Volglijstnaam en aliaslengte | Namen en aliassen van volglijsten moeten tussen 3 en 64 tekens bevatten. De eerste en laatste tekens moeten alfanumeriek zijn; spaties, afbreekstreepjes en onderstrepingstekens zijn toegestaan tussen. |
| Beoogd gebruik | Gebruik volglijsten alleen voor referentiegegevens. Volglijsten zijn niet ontworpen voor grote gegevensvolumes. |
| Maximum aantal actieve volglijstitems | U kunt maximaal 10 miljoen actieve volglijstitems in alle volglijsten in een werkruimte hebben. Verwijderde items tellen niet mee. Gebruik aangepaste logboeken voor grotere volumes. |
| Gegevensretentie | Gegevens in de log analytics-volglijsttabel worden 28 dagen bewaard. |
| Vernieuwingsinterval | Volglijsten worden elke 12 dagen vernieuwd, waarbij het TimeGenerated veld wordt bijgewerkt. |
| Beheer tussen werkruimten | Het beheren van volglijsten in werkruimten met behulp van Azure Lighthouse wordt niet ondersteund. |
| Uploadgrootte van lokaal bestand | Lokale bestandsuploads zijn beperkt tot bestanden van maximaal 3,8 MB. |
| uploadgrootte van Azure Storage-bestand (preview) | Azure Storage-uploads zijn beperkt tot bestanden van maximaal 500 MB. |
| Kolom- en tabelbeperkingen | Volglijsten moeten voldoen aan de naamgevingsbeperkingen van KQL-entiteiten voor kolommen en namen. |
Microsoft Sentinel methoden voor het maken van volglijsten
Gebruik een van de volgende methoden om volglijsten te maken in Microsoft Sentinel:
Een bestand uploaden vanuit een lokale map of vanuit uw Azure Storage-account.
Download een volglijstsjabloon van Microsoft Sentinel, voeg uw gegevens toe en upload het bestand vervolgens wanneer u de volglijst maakt.
Als u een volglijst wilt maken van een groot bestand (maximaal 500 MB), uploadt u het bestand naar uw Azure Storage-account. Maak een SAS-URL (Shared Access Signature) zodat Microsoft Sentinel de watchlistgegevens kunt ophalen. Een SAS-URL bevat zowel de resource-URI als het SAS-token voor een resource, zoals een CSV-bestand in uw opslagaccount. Voeg de volglijst toe aan uw werkruimte in Microsoft Sentinel.
Zie voor meer informatie:
Volglijsten in query's voor zoek- en detectieregels
Als u uw volglijstgegevens wilt correleren met andere Microsoft Sentinel gegevens, gebruikt u Kusto-operatoren in tabelvorm, zoals join en lookup met de Watchlist tabel. Microsoft Sentinel maakt de volgende functies in de werkruimte om te verwijzen naar en query's uit te voeren op uw volglijsten:
-
_GetWatchlistAlias- retourneert de aliassen van al uw volglijsten -
_GetWatchlist- query's uitvoeren op de naam-waardeparen van de opgegeven volglijst
Wanneer u een volglijst maakt, definieert u de Zoeksleutel. De zoeksleutel is de naam van een kolom in uw volglijst die u verwacht te gebruiken als join met andere gegevens of als een frequent zoekobject. Stel dat u een serverwachtlijst hebt die land-/regionamen en hun respectieve tweeletterige landcodes bevat. U verwacht de landcodes vaak te gebruiken voor zoekopdrachten of joins. U gebruikt dus de kolom landcode als zoeksleutel.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
Laten we eens kijken naar enkele andere voorbeeldquery's.
Stel dat u een volglijst wilt gebruiken in een analyseregel. U maakt een volglijst met de naam ipwatchlist met kolommen voor IPAddress en Location. U hebt ingesteld IPAddress als de Zoeksleutel.
IPAddress,Location |
|---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
Als u alleen gebeurtenissen van IP-adressen in de volglijst wilt opnemen, kunt u een query gebruiken waarbij watchlist wordt gebruikt als een variabele of inline.
In deze voorbeeldquery wordt de volglijst als variabele gebruikt:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
In deze voorbeeldquery wordt de volglijst inline gebruikt met de query en de zoeksleutel die is gedefinieerd voor de volglijst.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
Zie Query's en detectieregels maken met volglijsten in Microsoft Sentinel en de volgende artikelen in de Kusto-documentatie voor meer informatie:
Zie overzicht van Kusto-querytaal (KQL) voor meer informatie over KQL.
Andere resources:
Verwante onderwerpen
Zie voor meer informatie: