Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
As listas de observação no Microsoft Sentinel ajudam os analistas de segurança a correlacionar e enriquecer de forma eficiente os dados de eventos. Dão-lhe uma forma flexível de gerir dados de referência, como listas de ativos de alto valor ou funcionários terminados. Integre listas de observação nas suas regras de deteção, investigação de ameaças e fluxos de trabalho de resposta para reduzir a fadiga dos alertas e responder a ameaças mais rapidamente. Este artigo explica como utilizar listas de observação no Microsoft Sentinel, descreve os principais cenários e limitações e fornece orientações sobre como criar e consultar listas de observação para melhorar as suas operações de segurança.
Utilize listas de observação nos manuais de procedimentos de pesquisa, deteção, investigação de ameaças e resposta. As listas de observação são armazenadas na área de trabalho Microsoft Sentinel na Watchlist tabela como pares nome-valor. São colocadas em cache para um desempenho de consulta ideal e baixa latência.
Importante
As funcionalidades para modelos de lista de observação e a capacidade de criar uma lista de observação a partir de um ficheiro no Armazenamento Azure estão atualmente em PRÉ-VISUALIZAÇÃO. Os Termos Suplementares de Pré-visualização do Azure incluem termos legais adicionais que se aplicam a funcionalidades Azure que estão em beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
Quando utilizar listas de observação
Utilize listas de observação nestes cenários:
Investigue ameaças e responda rapidamente a incidentes ao importar endereços IP, hashes de ficheiros e outros dados de ficheiros CSV. Depois de importar os dados, utilize pares nome-valor da lista de observação para associações e filtros em regras de alerta, investigação de ameaças, livros, blocos de notas e consultas.
Importar dados de negócio como uma lista de observação. Por exemplo, importe listas de utilizadores com acesso privilegiado ao sistema ou listas de funcionários terminados. Em seguida, utilize a lista de observação para criar listas de permissões e listas de bloqueio para detetar ou impedir que esses utilizadores iniciem sessão na rede.
Reduza a fadiga dos alertas. Crie listas de permissões para suprimir alertas de um grupo de utilizadores, como utilizadores de endereços IP autorizados que executam tarefas que normalmente acionam o alerta. Impedir que eventos benignos se tornem alertas.
Enriquecer dados de eventos. Utilize listas de observação para adicionar combinações de nome-valor de origens de dados externas aos dados do evento.
Limitações da lista de observação
Recomendamos que reveja as seguintes limitações antes de criar listas de observação:
| Limitação | Detalhes |
|---|---|
| Nome da lista de observação e comprimento de alias | Os nomes e aliases da lista de observação têm de ter entre 3 e 64 carateres. O primeiro e o último carateres têm de ser alfanuméricos; espaços, hífenes e carateres de sublinhado permitidos entre. |
| Utilização pretendida | Utilize listas de observação apenas para dados de referência. As listas de observação não foram concebidas para grandes volumes de dados. |
| Máximo de itens de lista de observação ativos | Pode ter um máximo de 10 milhões de itens de lista de observação ativos em todas as listas de observação numa área de trabalho. Os itens eliminados não contam. Para volumes maiores, utilize registos personalizados. |
| Retenção de dados | Os dados na tabela da Lista de Observação do Log Analytics são retidos durante 28 dias. |
| Intervalo de atualização | As listas de observação são atualizadas a cada 12 dias, atualizando o TimeGenerated campo. |
| Gestão entre áreas de trabalho | A gestão de listas de observação em áreas de trabalho com o Azure Lighthouse não é suportada. |
| Tamanho do carregamento do ficheiro local | Os carregamentos de ficheiros locais estão limitados a ficheiros de até 3,8 MB. |
| Azure tamanho do carregamento do ficheiro de Armazenamento (pré-visualização) | Azure os carregamentos do Armazenamento estão limitados a ficheiros de até 500 MB. |
| Restrições de colunas e tabelas | As listas de observação têm de seguir as restrições de nomenclatura de entidades KQL para colunas e nomes. |
Microsoft Sentinel métodos de criação de listas de observação
Utilize um dos seguintes métodos para criar listas de observação no Microsoft Sentinel:
Carregar um ficheiro a partir de uma pasta local ou da sua conta de Armazenamento do Azure.
Transfira um modelo de lista de observação a partir de Microsoft Sentinel, adicione os seus dados e, em seguida, carregue o ficheiro quando criar a lista de observação.
Para criar uma lista de observação a partir de um ficheiro grande (até 500 MB), carregue o ficheiro para a sua conta de armazenamento Azure. Crie um URL de assinatura de acesso partilhado (SAS) para que Microsoft Sentinel possam obter os dados da lista de observação. Um URL de SAS inclui o URI do recurso e o token de SAS para um recurso, como um ficheiro CSV na sua conta de armazenamento. Adicione a lista de observação à área de trabalho no Microsoft Sentinel.
Para saber mais, confira:
- Criar listas de observação no Microsoft Sentinel
- Esquemas de lista de observação incorporados
- token de SAS de Armazenamento Azure
Listas de observação em consultas para pesquisas e regras de deteção
Para correlacionar os dados da lista de observação com outros dados Microsoft Sentinel, utilize operadores tabulares kusto, como join e lookup com a Watchlist tabela. Microsoft Sentinel cria as seguintes funções na área de trabalho para ajudar a referenciar e consultar as suas listas de observação:
-
_GetWatchlistAlias- devolve os aliases de todas as listas de observação -
_GetWatchlist- consulta os pares nome-valor da lista de observação especificada
Quando cria uma lista de observação, define a SearchKey. A chave de pesquisa é o nome de uma coluna na sua lista de observação que espera utilizar como uma associação a outros dados ou como um objeto frequente de pesquisas. Por exemplo, suponha que tem uma lista de observação de servidor que contém nomes de país/região e os respetivos códigos de país de duas letras. Espera utilizar frequentemente os códigos de país/região para pesquisas ou associações. Por isso, utilize a coluna country code como a chave de pesquisa.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
Vejamos outras consultas de exemplo.
Suponha que pretende utilizar uma lista de observação numa regra de análise. Crie uma lista de observação chamada ipwatchlist com colunas para IPAddress e Location. Definiu IPAddress como SearchKey.
IPAddress,Location |
|---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
Para incluir apenas eventos de endereços IP na lista de observação, pode utilizar uma consulta em watchlist que é utilizada como uma variável ou inline.
Esta consulta de exemplo utiliza a lista de observação como uma variável:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
Esta consulta de exemplo utiliza a lista de observação inline com a consulta e a chave de pesquisa definidas para a lista de observação.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
Para obter mais informações, veja Criar consultas e regras de deteção com listas de observação no Microsoft Sentinel e os seguintes artigos na documentação do Kusto:
Para obter mais informações sobre o KQL, veja Descrição geral do Linguagem de Consulta Kusto (KQL).
Outros recursos:
Conteúdo relacionado
Para saber mais, confira: