Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Visningslistor i Microsoft Sentinel hjälper säkerhetsanalytiker att effektivt korrelera och berika händelsedata. De ger dig ett flexibelt sätt att hantera referensdata, till exempel listor över värdefulla tillgångar eller avslutade anställda. Integrera bevakningslistor i dina identifieringsregler, hotjakt och arbetsflöden för svar för att minska aviseringströttheten och reagera snabbare på hot. Den här artikeln beskriver hur du använder visningslistor i Microsoft Sentinel, beskriver viktiga scenarier och begränsningar och ger vägledning om hur du skapar och frågar bevakningslistor för att förbättra dina säkerhetsåtgärder.
Använd bevakningslistor i dina sök-, identifieringsregler, hotjakt och svarsspelböcker. Bevakningslistor lagras i din Microsoft Sentinel-arbetsyta i Watchlist-tabellen som namn/värde-par. De cachelagras för optimal frågeprestanda och låg svarstid.
Viktigt!
Funktionerna för visningslistmallar och möjligheten att skapa en visningslista från en fil i Azure Storage finns för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
När du ska använda visningslistor
Använd bevakningslistor i följande scenarier:
Undersök hot och reagera snabbt på incidenter genom att importera IP-adresser, filhashvärden och andra data från CSV-filer. När du har importerat data använder du namn-värde-par i övervakningslistor för att koppla och filtrera i aviseringsregler, hotidentifiering, arbetsböcker, anteckningsböcker och frågor.
Importera affärsdata som en bevakningslista. Du kan till exempel importera användarlistor med privilegierad systemåtkomst eller listor över avslutade anställda. Använd sedan visningslistan för att skapa tillåtna listor och blocklistor för att identifiera eller förhindra att dessa användare loggar in i nätverket.
Minska aviseringströtthet. Skapa tillåtna listor för att förhindra aviseringar från en grupp användare, till exempel användare från auktoriserade IP-adresser som utför uppgifter som normalt utlöser aviseringen. Förhindra att godartade händelser blir aviseringar.
Berika händelsedata. Använd visningslistor för att lägga till kombinationer av namn/värde från externa datakällor till dina händelsedata.
Begränsningar för bevakningslista
Vi rekommenderar att du granskar följande begränsningar innan du skapar visningslistor:
| Begränsning | Detaljer |
|---|---|
| Namn på visningslista och aliaslängd | Visningslistans namn och alias måste vara mellan 3 och 64 tecken. Första och sista tecknen måste vara alfanumeriska; blanksteg, bindestreck och understreck är tillåtna mellan dem. |
| Avsedd användning | Använd endast visningslistor för referensdata. Bevakningslistor är inte utformade för stora datavolymer. |
| Maximalt antal aktiva visningslistobjekt | Du kan ha högst 10 miljoner aktiva visningslisteobjekt i alla visningslistor på en arbetsyta. Borttagna objekt räknas inte. Använd anpassade loggar för större volymer. |
| Datakvarhållning | Data i log analytics-bevakningslistan behålls i 28 dagar. |
| Uppdateringsintervall | Visningslistor uppdateras var 12:e dag och uppdaterar fältet TimeGenerated . |
| Övergripande hantering av arbetsytor | Det går inte att hantera bevakningslistor inom arbetsytor med hjälp av Azure Lighthouse. |
| Storlek på lokal filuppladdning | Lokala filuppladdningar är begränsade till filer på upp till 3,8 MB. |
| Filuppladdningsstorlek för Azure Storage (förhandsversion) | Azure Storage-uppladdningar är begränsade till filer på upp till 500 MB. |
| Kolumn- och tabellbegränsningar | Visningslistor måste följa KQL-entitetsnamngivningsbegränsningar för kolumner och namn. |
Metoder för att skapa bevakningslistor i Microsoft Sentinel
Använd någon av följande metoder för att skapa visningslistor i Microsoft Sentinel:
Ladda upp en fil från en lokal mapp eller från ditt Azure Storage-konto.
Ladda ned en visningslistmall från Microsoft Sentinel, lägg till dina data och ladda sedan upp filen när du skapar visningslistan.
Om du vill skapa en visningslista från en stor fil (upp till 500 MB) laddar du upp filen till ditt Azure Storage-konto. Skapa en URL för signatur för delad åtkomst (SAS) så att Microsoft Sentinel kan hämta visningslistans data. En SAS-URL innehåller både resurs-URI:n och SAS-token för en resurs, till exempel en CSV-fil i ditt lagringskonto. Lägg till visningslistan på din arbetsyta i Microsoft Sentinel.
Mer information finns i:
Visningslistor i frågor för sökningar och identifieringsregler
Om du vill korrelera dina visningslistdata med andra Microsoft Sentinel-data använder du Kusto-tabelloperatorer som join och lookup med Watchlist tabellen. Microsoft Sentinel skapar följande funktioner på arbetsytan för att referera till och fråga dina visningslistor:
-
_GetWatchlistAlias– returnerar aliasen för alla dina visningslistor -
_GetWatchlist– frågar namn/värde-paren i den angivna visningslistan
När du skapar en visningslista definierar du SearchKey. Söknyckeln är namnet på en kolumn i visningslistan som du förväntar dig att använda som en koppling till andra data eller som ett vanligt objekt för sökningar. Anta till exempel att du har en serverbevakningslista som innehåller lands-/regionnamn och deras respektive landskoder med två bokstäver. Du förväntar dig att använda landskoderna ofta för sökningar eller kopplingar. Så du använder landskodskolumnen som söknyckel.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
Låt oss titta på några andra exempelfrågor.
Anta att du vill använda en visningslista i en analysregel. Du skapar en visningslista med namnet ipwatchlist med kolumner för IPAddress och Location. Du anger IPAddress som SearchKey.
IPAddress,Location |
|---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
Om du bara vill inkludera händelser från IP-adresser i visningslistan kan du använda en fråga där watchlist används som en variabel eller infogad.
I den här exempelfrågan används visningslistan som en variabel:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
Den här exempelfrågan använder visningslistan infogad med frågan och söknyckeln som definierats för visningslistan.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
Mer information finns i Skapa frågor och identifieringsregler med bevakningslistor i Microsoft Sentinel och följande artiklar i Kusto-dokumentationen:
Mer information om KQL finns i Översikt över Kusto Query Language (KQL).
Andra resurser:
Relaterat innehåll
Mer information finns i: