Skapa frågor eller identifieringsregler med bevakningslistor i Microsoft Sentinel

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Fråga data i valfri tabell mot data från en visningslista genom att behandla visningslistan som en tabell för kopplingar och sökningar. När du skapar en visningslista definierar du SearchKey. Söknyckeln är namnet på en kolumn i visningslistan som du förväntar dig att använda som en koppling till andra data eller som ett vanligt objekt för sökningar.

För optimal frågeprestanda använder du SearchKey som nyckel för kopplingar i dina frågor.

Viktigt!

Microsoft Sentinel är tillgängligt som en del av den offentliga förhandsversionen av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Skapa frågor med visningslistor

Om du vill använda en visningslista i sökfrågan skriver du en Kusto-fråga som använder funktionen _GetWatchlist('watchlist-name') och använder SearchKey som nyckel för din koppling.

  1. För Microsoft Sentinel i Azure-portalen går du till Konfiguration och väljer Bevakningslista.
    För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel Configuration>>Watchlist.

  2. Välj den visningslista som du vill använda.

  3. Välj Visa i loggar.

    Skärmbild som visar hur du använder visningslistor i frågor.

  4. Granska fliken Resultat . Objekten i bevakningslistan extraheras automatiskt för din fråga.

    Exemplet nedan visar resultatet av extrahering av fälten Namn och IP-adress . SearchKey visas som en egen kolumn.

    Skärmbild som visar frågor med visningslistefält.

    Tidsstämpeln för dina frågor ignoreras både i frågegränssnittet och i schemalagda aviseringar.

  5. Skriv en fråga som använder funktionen _GetWatchlist('watchlist-name') och använder SearchKey som nyckel för din koppling.

    Följande exempelfråga kopplar RemoteIPCountry till exempel kolumnen i Heartbeat tabellen med söknyckeln som definierats för visningslistan med namnet mywatchlist.

    Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist') 
 on $left.RemoteIPCountry == $right.SearchKey

    Följande bild visar resultatet av den här exempelfrågan i Log Analytics.

    Skärmbild av frågor mot visningslistan som uppslag.

Skapa en analysregel med en visningslista

Om du vill använda visningslistor i analysregler skapar du en regel med hjälp av funktionen _GetWatchlist('watchlist-name') i frågan.

  1. Under Konfiguration väljer du Analys.

  2. Välj Skapa och den typ av regel som du vill skapa.

  3. Ange lämplig information på fliken Allmänt .

  4. På fliken Ange regellogik använder _GetWatchlist('<watchlist>') du funktionen i frågan under Regelfråga.

    Anta till exempel att du har en visningslista med namnet ipwatchlist som du skapade från en CSV-fil med följande värden:

    IPAddress,Location
    10.0.100.11,Home
    172.16.107.23,Work
    10.0.150.39,Home
    172.20.32.117,Work

    CSV-filen ser ut ungefär som följande bild. Skärmbild av fyra objekt i en CSV-fil som används för visningslistan.

    Om du vill använda _GetWatchlist funktionen för det här exemplet är _GetWatchlist('ipwatchlist')frågan .

    Skärmbild som visar frågan returnerar de fyra objekten från visningslistan.

    I det här exemplet inkluderar vi bara händelser från IP-adresser i visningslistan:

    //Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)

    I följande exempelfråga används visningslistan infogad med frågan och söknyckeln som definierats för visningslistan.

    //Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in ( 
    (_GetWatchlist('ipwatchlist')
    | project SearchKey)
)

    Följande bild visar den sista frågan som används i regelfrågan.

    Skärmbild som visar hur du använder visningslistor i analysregler.

  5. Slutför resten av flikarna i guiden Analysregel.

Visningslistor uppdateras på din arbetsyta var 12:e dag och uppdaterar fältet TimeGenerated . Mer information finns i Skapa anpassade analysregler för att identifiera hot.

Visa lista över bevakningslistalias

Du kan behöva se en lista över bevakningslistalias för att identifiera en bevakningslista som ska användas i en fråga eller analysregel.

  1. För Microsoft Sentinel i Azure-portalen går du till Allmänt och väljer Loggar.
    I Defender-portalen väljer du Undersökning och svar>Jakt>Avancerad jakt.

  2. Kör följande fråga på sidan Ny fråga : _GetWatchlistAlias.

  3. Granska listan med alias på fliken Resultat .

    Skärmbild som visar en lista över visningslistor.

Relaterat innehåll

I det här dokumentet har du lärt dig hur du använder visningslistor i Microsoft Sentinel för att utöka data och förbättra utredningar. Mer information om Microsoft Sentinel finns i följande artiklar: