Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Microsoft Sentinel'deki izleme listeleri, güvenlik analistlerinin olay verilerini verimli bir şekilde ilişkilendirmelerine ve zenginleştirmelerine yardımcı olur. Bunlar, yüksek değerli varlıkların veya sonlandırılan çalışanların listesi gibi başvuru verilerini yönetmek için esnek bir yol sağlar. Uyarı yorgunluğunu azaltmak ve tehditlere daha hızlı yanıt vermek için izleme listelerini algılama kurallarınız, tehdit avcılığı ve yanıt iş akışlarınızla tümleştirin. Bu makalede, Microsoft Sentinel'da izleme listelerinin nasıl kullanılacağı açıklanır, temel senaryoları ve sınırlamaları özetler ve güvenlik işlemlerinizi geliştirmek için izleme listeleri oluşturma ve sorgulama konusunda yönergeler verilmektedir.
Arama, algılama kuralları, tehdit avcılığı ve yanıt playbook'larınızda izleme listelerini kullanın. İzleme listeleri, tablodaki Microsoft Sentinel çalışma alanınızda Watchlist ad-değer çiftleri olarak depolanır. En iyi sorgu performansı ve düşük gecikme süresi için önbelleğe alınır.
Önemli
İzleme listesi şablonlarının özellikleri ve Azure Depolama'daki bir dosyadan izleme listesi oluşturma özelliği şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları beta, önizleme veya henüz genel kullanıma sunulmamış Azure özellikler için geçerli olan ek yasal koşulları içerir.
İzleme listeleri ne zaman kullanılır?
Bu senaryolarda izleme listelerini kullanın:
CSV dosyalarından IP adreslerini, dosya karmalarını ve diğer verileri içeri aktararak tehditleri araştırın ve olaylara hızla yanıt verin. Verileri içeri aktardıktan sonra uyarı kuralları, tehdit avcılığı, çalışma kitapları, not defterleri ve sorgulardaki birleşimler ve filtreler için izleme listesi ad-değer çiftlerini kullanın.
İş verilerini izleme listesi olarak içeri aktar. Örneğin, ayrıcalıklı sistem erişimi olan kullanıcı listelerini veya sonlandırılan çalışanların listesini içeri aktarın. Ardından, bu kullanıcıların ağda oturum açmasını algılamak veya engellemek için izin verilenler ve engelleme listeleri oluşturmak için izleme listesini kullanın.
Uyarı yorgunluğunu azaltın. Normalde uyarıyı tetikleyen görevleri gerçekleştiren yetkili IP adreslerinden gelen kullanıcılar gibi bir kullanıcı grubundan gelen uyarıları engellemek için izin verilenler listesi oluşturun. İyi huylu olayların uyarı haline gelmesini önleyin.
Olay verilerini zenginleştirin. Olay verilerinize dış veri kaynaklarından ad-değer birleşimleri eklemek için izleme listelerini kullanın.
İzleme listesi sınırlamaları
İzleme listeleri oluşturmadan önce aşağıdaki sınırlamaları gözden geçirmenizi öneririz:
| Sınırlama | Ayrıntılar |
|---|---|
| İzleme listesi adı ve diğer ad uzunluğu | İzleme listesi adları ve diğer adları 3 ile 64 karakter arasında olmalıdır. İlk ve son karakterler alfasayısal olmalıdır; boşluk, kısa çizgi ve alt çizgiye izin verilir. |
| Amaçlanan kullanım | İzleme listelerini yalnızca başvuru verileri için kullanın. İzleme listeleri büyük veri birimleri için tasarlanmamıştır. |
| En fazla etkin izleme listesi öğesi | Bir çalışma alanında tüm izleme listelerinde en fazla 10 milyon etkin izleme listesi öğesine sahip olabilirsiniz. Silinen öğeler sayılmaz. Daha büyük birimler için özel günlükleri kullanın. |
| Veri saklama | Log Analytics İzleme Listesi tablosundaki veriler 28 gün boyunca saklanır. |
| Yenileme aralığı | İzleme listeleri, alanı güncelleştirerek 12 günde bir yenilenir TimeGenerated . |
| Çalışma alanları arası yönetim | Azure Lighthouse kullanılarak çalışma alanları genelinde izleme listelerinin yönetilmesi desteklenmez. |
| Yerel dosya karşıya yükleme boyutu | Yerel dosya yüklemeleri 3,8 MB'a kadar olan dosyalarla sınırlıdır. |
| Azure Depolama dosyası karşıya yükleme boyutu (önizleme) | Azure Depolama yüklemeleri 500 MB'a kadar olan dosyalarla sınırlıdır. |
| Sütun ve tablo kısıtlamaları | İzleme listelerinin sütunlar ve adlar için KQL varlık adlandırma kısıtlamalarına uyması gerekir. |
Microsoft Sentinel izleme listesi oluşturma yöntemleri
Microsoft Sentinel'da izleme listeleri oluşturmak için aşağıdaki yöntemlerden birini kullanın:
Dosyayı yerel bir klasörden veya Azure Depolama hesabınızdan karşıya yükleme.
Microsoft Sentinel'dan bir izleme listesi şablonu indirin, verilerinizi ekleyin ve izleme listesini oluştururken dosyayı karşıya yükleyin.
Büyük bir dosyadan (500 MB'a kadar) izleme listesi oluşturmak için dosyayı Azure Depolama hesabınıza yükleyin. Microsoft Sentinel izleme listesi verilerini alabilmesi için paylaşılan erişim imzası (SAS) URL'si oluşturun. SAS URL'si, depolama hesabınızdaki CSV dosyası gibi bir kaynağın hem kaynak URI'sini hem de SAS belirtecini içerir. İzleme listesini Microsoft Sentinel çalışma alanınıza ekleyin.
Daha fazla bilgi için bkz.:
- Microsoft Sentinel'da izleme listeleri oluşturma
- Yerleşik izleme listesi şemaları
- Azure Depolama SAS belirteci
Aramalar ve algılama kuralları için sorgulardaki izleme listeleri
İzleme listesi verilerinizi diğer Microsoft Sentinel verileriyle ilişkilendirmek için ve lookup gibi join Kusto tablo işleçlerini tabloyla Watchlist kullanın. Microsoft Sentinel, izleme listelerinize başvurmaya ve sorgulamaya yardımcı olmak için çalışma alanında aşağıdaki işlevleri oluşturur:
-
_GetWatchlistAlias- tüm izleme listelerinizin diğer adlarını döndürür -
_GetWatchlist- belirtilen izleme listesinin ad-değer çiftlerini sorgular
İzleme listesi oluşturduğunuzda SearchKey'i tanımlarsınız. Arama anahtarı, izleme listenizdeki bir sütunun adıdır ve diğer verilerle birleştirme olarak veya aramaların sık kullanılan bir nesnesi olarak kullanmayı beklersiniz. Örneğin, ülke/bölge adlarını ve bunların ilgili iki harfli ülke kodlarını içeren bir sunucu izleme listenize sahip olduğunuzu varsayalım. Aramalar veya katılmalar için ülke kodlarını sık sık kullanmayı bekliyorsunuz. Bu nedenle arama anahtarı olarak ülke kodu sütununu kullanırsınız.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
Şimdi diğer bazı örnek sorgulara bakalım.
Analiz kuralında izleme listesi kullanmak istediğinizi varsayalım. ve Locationsütunlarıyla IPAddress adlı ipwatchlist bir izleme listesi oluşturursunuz.
SearchKey olarak ayarlanırIPAddress.
IPAddress,Location |
|---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
İzleme listesine yalnızca IP adreslerinden gelen olayları eklemek için, değişken veya satır içi olarak kullanılan bir sorgu watchlist kullanabilirsiniz.
Bu örnek sorgu, izleme listesini değişken olarak kullanır:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
Bu örnek sorgu, izleme listesini sorgu ve izleme listesi için tanımlanan arama anahtarıyla satır içi olarak kullanır.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
Daha fazla bilgi için Microsoft Sentinel'da izleme listeleriyle sorgular ve algılama kuralları oluşturma ve Kusto belgelerindeki aşağıdaki makalelere bakın:
KQL hakkında daha fazla bilgi için bkz. Kusto Sorgu Dili (KQL) genel bakış.
Diğer kaynaklar:
İlgili içerik
Daha fazla bilgi için bkz.: