Поделиться через

Создание запросов или правил обнаружения с помощью списков наблюдения в Microsoft Sentinel

  • Применяется к: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Сопоставляйте данные вашего списка наблюдения с любыми данными Microsoft Sentinel, используя табличные операторы Kusto, такие как join и lookup. При создании списка наблюдения определяется SearchKey. Ключ поиска — это имя столбца в вашем включенном списке, который предполагается использовать для объединения с другими данными или в качестве частого объекта поиска.

Для оптимальной производительности запросов используйте SearchKey в качестве ключа для соединений в запросах.

Внимание

После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.

Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.

Создание запросов со списками видео к просмотру

Чтобы использовать список наблюдения в поисковом запросе, напишите запрос Kusto, который использует функцию _GetWatchlist('watchlist-name') и использует SearchKey в качестве ключа для соединения.

  1. Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Конфигурация>Список отслеживания. Для Microsoft Sentinel на портале Azure в разделе "Конфигурация" выберите список наблюдения.

  2. Выберите наблюдаемый список, который хотите использовать.

  3. Выберите Просмотр в журналах.

    Снимок экрана: использование списков наблюдения в запросах.

  4. Просмотрите вкладку Результаты. Элементы в списке отслеживания автоматически извлекаются в соответствии с вашим запросом.

    В приведенном ниже примере показаны результаты извлечения полей "Имя " и "IP-адрес ". SearchKey отображается как собственный столбец.

    Снимок экрана, который показывает запросы с полями списка наблюдения.

    Метка времени в запросах будет игнорироваться как в интерфейсе запроса, так и в запланированных оповещениях.

  5. Напишите запрос, который использует функцию _GetWatchlist('watchlist-name') и использует SearchKey в качестве ключа для соединения.

    Например, следующий пример запроса соединяет столбец RemoteIPCountry в таблице Heartbeat с ключом поиска, определённым для списка наблюдения под названием mywatchlist.

    Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist') 
 on $left.RemoteIPCountry == $right.SearchKey

    На рисунке ниже показаны результаты выполнения этого примера запроса в Log Analytics.

    Снимок экрана: запросы к списку наблюдения для поиска.

Создание правила аналитики со списком наблюдения

Чтобы использовать списки видео к просмотру в правилах аналитики, создайте правило с использованием функции _GetWatchlist('имя-списка-видео-к-просмотру') в запросе.

  1. В разделе "Конфигурация" выберите "Аналитика".

  2. Выберите "Создать " и тип правила, которое вы хотите создать.

  3. На вкладке "Общие " введите соответствующие сведения.

  4. На вкладке "Задать логику правила " в разделе "Запрос правила " используйте _GetWatchlist('<watchlist>') функцию в запросе.

    Например, предположим, что у вас есть ipwatchlist лист наблюдения, созданный из CSV-файла с следующими значениями.

    IPAddress,Location
    10.0.100.11,Home
    172.16.107.23,Work
    10.0.150.39,Home
    172.20.32.117,Work

    CSV-файл выглядит примерно так, как на следующем изображении: Снимок экрана: четыре элемента в CSV-файле, который используется для списка наблюдения.

    Для использования функции _GetWatchlist в этом примере запрос должен выглядеть так: _GetWatchlist('ipwatchlist').

    Снимок экрана: запрос возвращает четыре элемента из списка наблюдения.

    В этом примере мы включаем в список отслеживания только события с IP-адресов:

    //Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)

    В следующем примере запроса используются список видео к просмотру, встроенный в запрос, и ключ поиска, определенный для списка видео к просмотру.

    //Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in ( 
    (_GetWatchlist('ipwatchlist')
    | project SearchKey)
)

    На изображении ниже показан последний запрос, используемый в запросе правила.

    Снимок экрана: использование списков наблюдения в правилах аналитики.

  5. Заполните оставшиеся вкладки в мастере правил аналитики.

В рабочей области списки наблюдения обновляются каждые 12 дней, обновляя поле TimeGenerated. Дополнительные сведения см. в статье "Создание правил пользовательской аналитики для обнаружения угроз".

Отобразить список псевдонимов для списка наблюдения

Вам может потребоваться просмотреть список псевдонимов списков наблюдения, чтобы определить, какой список использовать в аналитическом правиле или запросе.

  1. Для Microsoft Sentinel на портале Azure в разделе "Общие" выберите "Журналы".
    На портале Defender выберите Расследование и реагирование, >, Расширенный поиск.

  2. На странице "Создать запрос" выполните следующий запрос: _GetWatchlistAlias

  3. Просмотрите список псевдонимов на вкладке "Результаты ".

    Снимок экрана: список списков наблюдения.

Дополнительные сведения о следующих элементах, используемых в предыдущих примерах, см. в документации Kusto:

Дополнительные сведения о KQL см. в обзоре языка запросов Kusto (KQL).

Другие ресурсы:

Связанный контент

В этом документе вы узнали, как использовать списки слежения в Microsoft Sentinel для обогащения данных и улучшения расследований. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:

  • Last updated on