Query's of detectieregels bouwen met volglijsten in Microsoft Sentinel

  • Artikel
  • Van toepassing op:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Query's uitvoeren op gegevens in een tabel op basis van gegevens uit een volglijst door de volglijst te behandelen als een tabel voor joins en zoekacties. Wanneer u een volglijst maakt, definieert u de SearchKey. De zoeksleutel is de naam van een kolom in uw volglijst die u verwacht te gebruiken als join met andere gegevens of als een frequent object van zoekopdrachten.

Gebruik SearchKey als sleutel voor joins in uw query's voor optimale queryprestaties.

Belangrijk

Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Query's bouwen met volglijsten

Als u een volglijst in een zoekquery wilt gebruiken, schrijft u een Kusto-query die gebruikmaakt van de functie _GetWatchlist('watchlist-name') en gebruikt u SearchKey als sleutel voor uw join.

  1. Selecteer voor Microsoft Sentinel in Azure Portal onder Configuratie de optie Volglijst.
    Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Configuration>Watchlist.

  2. Selecteer de volglijst die u wilt gebruiken.

  3. Selecteer Weergeven in logboeken.

    Schermopname van het gebruik van volglijsten in query's.

  4. Bekijk het tabblad Resultaten . De items in de volglijst worden automatisch geëxtraheerd voor uw query.

    In het onderstaande voorbeeld ziet u de resultaten van de extractie van de velden Naam en IP-adres . De SearchKey wordt weergegeven als een eigen kolom.

    Schermopname van query's met volglijstvelden.

    De tijdstempel voor uw query's wordt genegeerd in zowel de querygebruikersinterface als in geplande waarschuwingen.

  5. Schrijf een query die gebruikmaakt van de functie _GetWatchlist('watchlist-name') en gebruik SearchKey als sleutel voor uw join.

    Met de volgende voorbeeldquery wordt bijvoorbeeld de RemoteIPCountry kolom in de Heartbeat tabel samengevoegd met de zoeksleutel die is gedefinieerd voor de volglijst met de naam mywatchlist.

    Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist') 
 on $left.RemoteIPCountry == $right.SearchKey

    In de volgende afbeelding ziet u de resultaten van deze voorbeeldquery in Log Analytics.

    Schermopname van query's op de volglijst als zoekactie.

Een analyseregel maken met een volglijst

Als u volglijsten wilt gebruiken in analyseregels, maakt u een regel met behulp van de functie _GetWatchlist('watchlist-name') in de query.

  1. Selecteer Analyse onder Configuratie.

  2. Selecteer Maken en het type regel dat u wilt maken.

  3. Voer op het tabblad Algemeen de juiste informatie in.

  4. Gebruik op het tabblad Regellogica instellen onder Regelquery de _GetWatchlist('<watchlist>') functie in de query.

    Stel dat u een volglijst hebt met de naam ipwatchlist die u hebt gemaakt op basis van een CSV-bestand met de volgende waarden:

    IPAddress,Location
    10.0.100.11,Home
    172.16.107.23,Work
    10.0.150.39,Home
    172.20.32.117,Work

    Het CSV-bestand ziet er ongeveer als volgt uit. Schermopname van vier items in een CSV-bestand dat wordt gebruikt voor de volglijst.

    Als u de _GetWatchlist functie voor dit voorbeeld wilt gebruiken, zou uw query zijn _GetWatchlist('ipwatchlist').

    Schermopname van de query die de vier items uit de volglijst retourneert.

    In dit voorbeeld bevatten we alleen gebeurtenissen van IP-adressen in de volglijst:

    //Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)

    In de volgende voorbeeldquery wordt de volglijst inline gebruikt met de query en de zoeksleutel die is gedefinieerd voor de volglijst.

    //Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in ( 
    (_GetWatchlist('ipwatchlist')
    | project SearchKey)
)

    In de volgende afbeelding ziet u deze laatste query die in de regelquery wordt gebruikt.

    Schermopname van het gebruik van volglijsten in analyseregels.

  5. Voltooi de rest van de tabbladen in de wizard Analyseregels.

Volglijsten worden elke 12 dagen vernieuwd in uw werkruimte, waarbij het TimeGenerated veld wordt bijgewerkt. Zie Aangepaste analyseregels maken om bedreigingen te detecteren voor meer informatie.

Lijst met watchlist-aliassen weergeven

Mogelijk moet u een lijst met watchlistaliassen zien om een volglijst te identificeren die moet worden gebruikt in een query- of analyseregel.

  1. Voor Microsoft Sentinel in Azure Portal selecteert u Logboeken onder Algemeen.
    Selecteer In de Defender-portal onderzoek en antwoord>opsporing>geavanceerde opsporing.

  2. Voer op de pagina Nieuwe query de volgende query uit: _GetWatchlistAlias

  3. Bekijk de lijst met aliassen op het tabblad Resultaten .

    Schermopname van een lijst met volglijsten.

Gerelateerde inhoud

In dit document hebt u geleerd hoe u volglijsten in Microsoft Sentinel kunt gebruiken om gegevens te verrijken en onderzoeken te verbeteren. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel: