Skapa frågor eller identifieringsregler med bevakningslistor i Microsoft Sentinel
Fråga data i valfri tabell mot data från en visningslista genom att behandla visningslistan som en tabell för kopplingar och sökningar. När du skapar en visningslista definierar du SearchKey. Söknyckeln är namnet på en kolumn i visningslistan som du förväntar dig att använda som en koppling till andra data eller som ett vanligt objekt för sökningar.
För optimal frågeprestanda använder du SearchKey som nyckel för kopplingar i dina frågor.
Viktigt!
Microsoft Sentinel är nu allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Skapa frågor med visningslistor
Om du vill använda en visningslista i sökfrågan skriver du en Kusto-fråga som använder funktionen _GetWatchlist('watchlist-name') och använder SearchKey som nyckel för din koppling.
För Microsoft Sentinel i Azure-portalen går du till Konfiguration och väljer Bevakningslista.
För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel Configuration>>Watchlist.Välj den visningslista som du vill använda.
Välj Visa i loggar.
Granska fliken Resultat . Objekten i bevakningslistan extraheras automatiskt för din fråga.
Exemplet nedan visar resultatet av extrahering av fälten Namn och IP-adress . SearchKey visas som en egen kolumn.
Tidsstämpeln för dina frågor ignoreras både i frågegränssnittet och i schemalagda aviseringar.
Skriv en fråga som använder funktionen _GetWatchlist('watchlist-name') och använder SearchKey som nyckel för din koppling.
Följande exempelfråga kopplar
RemoteIPCountry
till exempel kolumnen iHeartbeat
tabellen med söknyckeln som definierats för visningslistan med namnetmywatchlist
.Heartbeat | lookup kind=leftouter _GetWatchlist('mywatchlist') on $left.RemoteIPCountry == $right.SearchKey
Följande bild visar resultatet av den här exempelfrågan i Log Analytics.
Skapa en analysregel med en visningslista
Om du vill använda visningslistor i analysregler skapar du en regel med hjälp av funktionen _GetWatchlist('watchlist-name') i frågan.
Under Konfiguration väljer du Analys.
Välj Skapa och den typ av regel som du vill skapa.
Ange lämplig information på fliken Allmänt .
På fliken Ange regellogik använder
_GetWatchlist('<watchlist>')
du funktionen i frågan under Regelfråga.Anta till exempel att du har en visningslista med namnet
ipwatchlist
som du skapade från en CSV-fil med följande värden:IPAddress,Location
10.0.100.11,Home
172.16.107.23,Work
10.0.150.39,Home
172.20.32.117,Work
CSV-filen ser ut ungefär som följande bild.
Om du vill använda
_GetWatchlist
funktionen för det här exemplet är_GetWatchlist('ipwatchlist')
frågan .I det här exemplet inkluderar vi bara händelser från IP-adresser i visningslistan:
//Watchlist as a variable let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress); Heartbeat | where ComputerIP in (watchlist)
I följande exempelfråga används visningslistan infogad med frågan och söknyckeln som definierats för visningslistan.
//Watchlist inline with the query //Use SearchKey for the best performance Heartbeat | where ComputerIP in ( (_GetWatchlist('ipwatchlist') | project SearchKey) )
Följande bild visar den sista frågan som används i regelfrågan.
Slutför resten av flikarna i guiden Analysregel.
Visningslistor uppdateras på din arbetsyta var 12:e dag och uppdaterar fältet TimeGenerated
. Mer information finns i Skapa anpassade analysregler för att identifiera hot.
Visa lista över bevakningslistalias
Du kan behöva se en lista över bevakningslistalias för att identifiera en bevakningslista som ska användas i en fråga eller analysregel.
För Microsoft Sentinel i Azure-portalen går du till Allmänt och väljer Loggar.
I Defender-portalen väljer du Undersökning och svar>Jakt>Avancerad jakt.Kör följande fråga på sidan Ny fråga :
_GetWatchlistAlias
.Granska listan med alias på fliken Resultat .
Relaterat innehåll
I det här dokumentet har du lärt dig hur du använder visningslistor i Microsoft Sentinel för att utöka data och förbättra utredningar. Mer information om Microsoft Sentinel finns i följande artiklar:
- Skapa visningslistor
- Lär dig hur du får insyn i dina data och potentiella hot.
- Kom igång med att identifiera hot med Microsoft Sentinel.
- Använd arbetsböcker för att övervaka dina data.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för