Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Listy obserwowanych w Microsoft Sentinel pomagają analitykom zabezpieczeń efektywnie korelować i wzbogacać dane zdarzeń. Zapewniają one elastyczny sposób zarządzania danymi referencyjnymi, takimi jak listy zasobów o wysokiej wartości lub pracowników zakończonych. Zintegruj listy obserwowanych z regułami wykrywania, wyszukiwaniem zagrożeń i przepływami pracy reagowania, aby zmniejszyć zmęczenie alertów i szybciej reagować na zagrożenia. W tym artykule wyjaśniono, jak używać list obserwowanych w Microsoft Sentinel, omówiono kluczowe scenariusze i ograniczenia oraz przedstawiono wskazówki dotyczące tworzenia i wykonywania zapytań dotyczących list obserwowanych w celu usprawnienia operacji zabezpieczeń.
Używaj list obserwowanych w podręcznikach wyszukiwania, reguł wykrywania, wyszukiwania zagrożeń i reagowania. Listy obserwowanych są przechowywane w obszarze roboczym Microsoft Sentinel w Watchlist tabeli jako pary nazwa-wartość. Są one buforowane w celu uzyskania optymalnej wydajności zapytań i małych opóźnień.
Ważna
Funkcje szablonów listy obserwowanych i możliwość tworzenia listy obserwowanych z pliku w usłudze Azure Storage są obecnie dostępne w wersji ZAPOZNAWczej. Dodatkowe warunki Azure (wersja zapoznawcza) obejmują dodatkowe warunki prawne, które mają zastosowanie do funkcji Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze udostępnione do ogólnej dostępności.
Kiedy używać list obserwowanych
Użyj list obserwowanych w następujących scenariuszach:
Szybkie badanie zagrożeń i reagowanie na zdarzenia przez zaimportowanie adresów IP, skrótów plików i innych danych z plików CSV. Po zaimportowaniu danych użyj par nazwa-wartość listy obserwowanych dla sprzężeń i filtrów w regułach alertów, wyszukiwaniu zagrożeń, skoroszytach, notesach i zapytaniach.
Importowanie danych biznesowych jako listy obserwowanych. Na przykład zaimportuj listy użytkowników z uprzywilejowanym dostępem systemowym lub listami zakończonych pracowników. Następnie użyj listy obserwowanych, aby utworzyć listy dozwolonych i listy blokowe, aby wykryć lub uniemożliwić tym użytkownikom logowanie się do sieci.
Zmniejsz zmęczenie alertami. Utwórz listy dozwolonych, aby pomijać alerty od grupy użytkowników, takich jak użytkownicy z autoryzowanych adresów IP, którzy wykonują zadania, które normalnie wyzwalają alert. Zapobiegaj alertom niegroźnych zdarzeń.
Wzbogacanie danych zdarzeń. Listy obserwowanych umożliwiają dodawanie kombinacji nazw i wartości z zewnętrznych źródeł danych do danych zdarzeń.
Ograniczenia listy obserwowanych
Zalecamy zapoznanie się z następującymi ograniczeniami przed utworzeniem list obserwowanych:
| Ograniczenie | Szczegóły |
|---|---|
| Nazwa listy obserwowanych i długość aliasu | Nazwy i aliasy listy obserwowanych muszą zawierać od 3 do 64 znaków. Pierwsze i ostatnie znaki muszą być alfanumeryczne; spacje, łączniki i podkreślenia dozwolone między nimi. |
| Zamierzone użycie | Listy obserwowanych są używane tylko w przypadku danych referencyjnych. Listy obserwowanych nie są przeznaczone dla dużych woluminów danych. |
| Maksymalna liczba aktywnych elementów listy obserwowanych | Możesz mieć maksymalnie 10 milionów aktywnych elementów listy obserwowanych na wszystkich listach obserwowanych w obszarze roboczym. Usunięte elementy nie są liczone. W przypadku większych woluminów użyj dzienników niestandardowych. |
| Przechowywanie danych | Dane w tabeli listy obserwowanych usługi Log Analytics są przechowywane przez 28 dni. |
| Interwał odświeżania | Listy obserwowanych są odświeżane co 12 dni, aktualizując TimeGenerated pole. |
| Zarządzanie między obszarami roboczymi | Zarządzanie listami obserwowanych w obszarach roboczych przy użyciu usługi Azure Lighthouse nie jest obsługiwane. |
| Rozmiar przekazywania pliku lokalnego | Przekazywanie plików lokalnych jest ograniczone do plików o rozmiarze do 3,8 MB. |
| rozmiar przekazywania pliku magazynu Azure (wersja zapoznawcza) | Azure przekazywanie magazynu jest ograniczone do plików o rozmiarze do 500 MB. |
| Ograniczenia dotyczące kolumn i tabel | Listy obserwowanych muszą być zgodne z ograniczeniami nazewnictwa jednostek KQL dla kolumn i nazw. |
Microsoft Sentinel metody tworzenia listy obserwowanych
Użyj jednej z następujących metod, aby utworzyć listy obserwowanych w Microsoft Sentinel:
Przekazywanie pliku z folderu lokalnego lub z konta usługi Azure Storage.
Pobierz szablon listy obserwowanych z Microsoft Sentinel, dodaj dane, a następnie przekaż plik podczas tworzenia listy obserwowanych.
Aby utworzyć listę obserwowanych z dużego pliku (do 500 MB), przekaż plik do konta usługi Azure Storage. Utwórz adres URL sygnatury dostępu współdzielonego (SAS), aby Microsoft Sentinel mógł pobrać dane listy obserwowanych. Adres URL sygnatury dostępu współdzielonego zawiera zarówno identyfikator URI zasobu, jak i token SAS dla zasobu, na przykład plik CSV na koncie magazynu. Dodaj listę obserwowanych do obszaru roboczego w Microsoft Sentinel.
Więcej informacji można znaleźć w następujących artykułach:
- Tworzenie list obserwowanych w Microsoft Sentinel
- Wbudowane schematy listy obserwowanych
- token sygnatury dostępu współdzielonego magazynu Azure
Listy obserwowanych w zapytaniach dotyczących wyszukiwań i reguł wykrywania
Aby skorelować dane listy obserwowanych z innymi danymi Microsoft Sentinel, użyj operatorów tabelarycznych Kusto, takich jak join i lookup z tabeląWatchlist. Microsoft Sentinel tworzy następujące funkcje w obszarze roboczym, aby ułatwić odwoływanie się do list obserwowanych i wykonywanie zapytań:
-
_GetWatchlistAlias— zwraca aliasy wszystkich list obserwowanych -
_GetWatchlist— wysyła zapytanie o pary nazwa-wartość określonej listy obserwowanych
Podczas tworzenia listy obserwowanych definiujesz wartość SearchKey. Klucz wyszukiwania to nazwa kolumny na liście obserwowanych, która ma być używana jako sprzężenie z innymi danymi lub jako częsty obiekt wyszukiwania. Załóżmy na przykład, że masz listę obserwowanych serwerów zawierającą nazwy krajów/regionów i ich kody krajów dwuliterowych. Oczekujesz, że kody krajów będą często używane do wyszukiwania lub dołączania. Dlatego użyjesz kolumny kodu kraju jako klucza wyszukiwania.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
Przyjrzyjmy się innym przykładowym zapytań.
Załóżmy, że chcesz użyć listy obserwowanych w regule analizy. Tworzysz listę obserwowanych o nazwie ipwatchlist z kolumnami dla IPAddress i Location. Ustawiono IPAddress wartość searchkey.
IPAddress,Location |
|---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
Aby uwzględnić tylko zdarzenia z adresów IP na liście obserwowanych, możesz użyć zapytania, w którym watchlist jest używane jako zmienna lub śródwierszowa.
To przykładowe zapytanie używa listy obserwowanych jako zmiennej:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
To przykładowe zapytanie używa wbudowanej listy obserwowanych z zapytaniem i kluczem wyszukiwania zdefiniowanym dla listy obserwowanych.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
Aby uzyskać więcej informacji, zobacz Build queries and detection rules with watchlists in Microsoft Sentinel (Tworzenie zapytań i reguł wykrywania przy użyciu list kontrolnych w Microsoft Sentinel) oraz następujące artykuły w dokumentacji usługi Kusto:
Aby uzyskać więcej informacji na temat języka KQL, zobacz omówienie język zapytań Kusto (KQL).
Inne zasoby:
Zawartość pokrewna
Więcej informacji można znaleźć w następujących artykułach: