Visningslistor i Microsoft Sentinel

• Gäller för:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Med bevakningslistor i Microsoft Sentinel kan du korrelera data från en datakälla som du tillhandahåller med händelserna i din Microsoft Sentinel-miljö. Du kan till exempel skapa en visningslista med en lista över värdefulla tillgångar, avslutade anställda eller tjänstkonton i din miljö.

Använd bevakningslistor i dina sök-, identifieringsregler, hotjakt och svarsspelböcker.

Bevakningslistor lagras i din Microsoft Sentinel-arbetsyta som namn/värde-par och cachelagras för optimal frågeprestanda och låg svarstid.

Viktigt!

Funktionerna för visningslistmallar och möjligheten att skapa en visningslista från en fil i Azure Storage finns för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

När du ska använda visningslistor

Använd visningslistor för att hjälpa dig med följande scenarier:

• Undersök hot och reagera snabbt på incidenter med snabb import av IP-adresser, filhashvärden och andra data från CSV-filer. När du har importerat data använder du namn/värde-par i visningslistan för kopplingar och filter i aviseringsregler, hotjakt, arbetsböcker, notebook-filer och allmänna frågor.

• Importera affärsdata som en visningslista. Du kan till exempel importera användarlistor med privilegierad systemåtkomst eller säga upp anställda. Använd sedan visningslistan för att skapa tillåtna listor och blocklistor för att identifiera eller förhindra att dessa användare loggar in i nätverket.

• Minska aviseringströtthet. Skapa tillåtna listor för att förhindra aviseringar från en grupp användare, till exempel användare från auktoriserade IP-adresser som utför uppgifter som normalt utlöser aviseringen. Förhindra att godartade händelser blir aviseringar.

• Berika händelsedata. Använd visningslistor för att utöka dina händelsedata med namn/värde-kombinationer som härleds från externa datakällor.

Begränsningar för visningslistor

Innan du skapar en visningslista bör du vara medveten om följande begränsningar:

• När du skapar en visningslista måste visningslistans namn och alias vara mellan 3 och 64 tecken. De första och sista tecknen måste vara alfanumeriska. Men du kan inkludera blanksteg, bindestreck och understreck mellan de första och sista tecknen.
• Användningen av bevakningslistor bör begränsas till referensdata eftersom de inte är utformade för stora datavolymer.
• Det totala antalet aktiva visningslistobjekt i alla visningslistor på en enda arbetsyta är för närvarande begränsat till 10 miljoner. Borttagna visningslistobjekt räknas inte mot den här summan. Om du behöver möjlighet att referera till stora datavolymer bör du överväga att mata in dem med hjälp av anpassade loggar i stället.
• Visningslistor uppdateras på din arbetsyta var 12:e dag och uppdaterar fältet TimeGenerated .
• Användning av Lighthouse för att hantera visningslistor på olika arbetsytor stöds inte just nu.
• Lokala filuppladdningar är för närvarande begränsade till filer med en storlek på upp till 3,8 MB.
• Filuppladdningar från ett Azure Storage-konto (i förhandsversion) är för närvarande begränsade till filer som är upp till 500 MB stora.
• Visningslistor måste följa samma kolumn- och tabellbegränsningar som KQL-entiteter. Mer information finns i KQL-entitetsnamn.

Alternativ för att skapa visningslistor

Skapa en visningslista i Microsoft Sentinel från en fil som du laddar upp från en lokal mapp eller från en fil i ditt Azure Storage-konto.

Du kan ladda ned en av bevakningslistmallarna från Microsoft Sentinel för att fylla i dina data. Ladda sedan upp filen när du skapar visningslistan i Microsoft Sentinel.

Om du vill skapa en visningslista från en stor fil som är upp till 500 MB stor laddar du upp filen till ditt Azure Storage-konto. Skapa sedan en url för signatur för delad åtkomst för Microsoft Sentinel för att hämta visningslistedata. En url för signatur för delad åtkomst är en URI som innehåller både resurs-URI:n och signaturtoken för delad åtkomst för en resurs som en csv-fil i ditt lagringskonto. Lägg slutligen till visningslistan på din arbetsyta i Microsoft Sentinel.

Mer information finns i följande artiklar:

• Skapa bevakningslistor i Microsoft Sentinel
• Inbyggda visningslistescheman
• Azure Storage SAS-token

Visningslistor i frågor för sökningar och identifieringsregler

Fråga data i valfri tabell mot data från en visningslista genom att behandla visningslistan som en tabell för kopplingar och sökningar. När du skapar en visningslista definierar du SearchKey. Söknyckeln är namnet på en kolumn i visningslistan som du förväntar dig att använda som en koppling till andra data eller som ett vanligt objekt för sökningar. Anta till exempel att du har en serverbevakningslista som innehåller landsnamn och deras respektive landskoder med två bokstäver. Du förväntar dig att använda landskoderna ofta för sökningar eller kopplingar. Så du använder landskodskolumnen som söknyckel.

Följande exempelfråga kopplar RemoteIPCountry kolumnen i Heartbeat tabellen med söknyckeln som definierats för visningslistan med namnet mywatchlist.

   Heartbeat
  | lookup kind=leftouter _GetWatchlist('mywatchlist') 
   on $left.RemoteIPCountry == $right.SearchKey

Låt oss titta på några andra exempelfrågor.

Anta att du vill använda en visningslista i en analysregel. Du skapar en visningslista med namnet ipwatchlist som innehåller kolumner för IPAddress och Location. Du definierar IPAddress som SearchKey.

IPAddress,Location
10.0.100.11,Home
172.16.107.23,Work
10.0.150.39,Home
172.20.32.117,Work

Om du bara vill inkludera händelser från IP-adresser i visningslistan kan du använda en fråga där visningslistan används som en variabel eller där visningslistan används infogat.

I följande exempelfråga används visningslistan som en variabel:

  //Watchlist as a variable
  let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
  Heartbeat
  | where ComputerIP in (watchlist)

I följande exempelfråga används visningslistan infogad med frågan och söknyckeln som definierats för visningslistan.

  //Watchlist inline with the query
  //Use SearchKey for the best performance
  Heartbeat
  | where ComputerIP in ( 
      (_GetWatchlist('ipwatchlist')
      | project SearchKey)
  )

Mer information finns i Skapa frågor och identifieringsregler med bevakningslistor i Microsoft Sentinel.

Nästa steg

Mer information om Microsoft Sentinel finns i följande artiklar:

• Skapa visningslistor
• Skapa frågor och identifieringsregler med visningslistor
• Hantera visningslistor
• Lär dig hur du får insyn i dina data och potentiella hot.
• Kom igång med att identifiera hot med Microsoft Sentinel.
• Använd arbetsböcker för att övervaka dina data.