Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Microsoft Sentinel'deki izleme listeleri, güvenlik analistlerinin olay verilerini verimli bir şekilde ilişkilendirmelerine ve zenginleştirmelerine yardımcı olur. Bunlar, yüksek değerli varlıkların veya sonlandırılan çalışanların listesi gibi başvuru verilerini yönetmeniz için esnek bir yol sağlar. Uyarı yorgunluğunu azaltmak ve tehditlere daha hızlı yanıt vermek için izleme listelerini algılama kurallarınızla, tehdit avcılığınızla ve yanıt iş akışlarınızla tümleştirin. Bu makalede, Microsoft Sentinel'de izleme listelerinin nasıl kullanılacağı açıklanmaktadır, temel senaryoları ve sınırlamaları özetler ve güvenlik işlemlerinizi geliştirmek için izleme listeleri oluşturma ve sorgulama konusunda rehberlik sağlar.
Arama, algılama kuralları, tehdit avcılığı ve yanıt playbook'larınızda izleme listelerini kullanın. İzleme listeleri, tablodaki Microsoft Sentinel çalışma alanınızda Watchlist ad-değer çiftleri olarak depolanır. En iyi sorgu performansı ve düşük gecikme süresi için önbelleğe alınırlar.
Önemli
İzleme listesi şablonlarının özellikleri ve Azure Depolama'daki bir dosyadan izleme listesi oluşturma özelliği şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.
İzleme listeleri ne zaman kullanılır?
Bu senaryolarda izleme listelerini kullanın:
CSV dosyalarından IP adreslerini, dosya karmalarını ve diğer verileri içeri aktararak tehditleri araştırın ve olaylara hızla yanıt verin. Verileri içeri aktardıktan sonra uyarı kuralları, tehdit avcılığı, çalışma kitapları, not defterleri ve sorgulardaki birleşimler ve filtreler için izleme listesi ad-değer çiftlerini kullanın.
İş verilerini izleme listesi olarak içeri aktar. Örneğin, ayrıcalıklı sistem erişimi olan kullanıcı listelerini veya sonlandırılan çalışanların listelerini içeri aktarın. Ardından, bu kullanıcıların ağda oturum açmasını algılamak veya engellemek için izin verilenler ve engelleme listeleri oluşturmak için izleme listesini kullanın.
Uyarı yorgunluğunu azaltın. Normalde uyarıyı tetikleyebilecek görevleri gerçekleştiren yetkili IP adreslerinden kullanıcılar gibi bir kullanıcı grubundan gelen uyarıları engellemek için izin verilenler listesi oluşturun. Zararsız olayların uyarı haline gelmesini önleyin.
Olay verilerini zenginleştirin. Olay verilerinize dış veri kaynaklarından ad-değer birleşimleri eklemek için izleme listelerini kullanın.
İzleme listesi sınırlamaları
İzleme listeleri oluşturmadan önce aşağıdaki sınırlamaları gözden geçirmenizi öneririz:
| Sınırlama | Ayrıntılar |
|---|---|
| İzleme listesi adı ve takma ad uzunluğu | İzleme listesi adları ve diğer adların karakter sayısı 3 ile 64 arasında olmalıdır. İlk ve son karakterler alfasayısal olmalıdır; aradaki boşluklara, kısa çizgilere ve alt çizgilere izin verilir. |
| Amaçlanan kullanım | İzleme listelerini yalnızca başvuru verileri için kullanın. İzleme listeleri büyük veri birimleri için tasarlanmamıştır. |
| En fazla etkin izleme listesi öğesi | Bir çalışma alanında tüm izleme listelerinde en fazla 10 milyon etkin izleme listesi öğesine sahip olabilirsiniz. Silinen öğeler sayılmaz. Daha büyük birimler için özel günlükleri kullanın. |
| Veri saklama | Log Analytics İzleme Listesi tablosundaki veriler 28 gün boyunca saklanır. |
| Yenileme aralığı | İzleme listeleri her 12 günde bir yenilenir ve izleme listesindeki TimeGenerated alanı güncellenir. |
| Çalışma alanları arası yönetim | Azure Lighthouse kullanarak çalışma alanları genelinde izleme listelerini yönetme desteklenmez. |
| Yerel dosya yükleme boyutu | Yerel dosya yüklemeleri 3,8 MB'a kadar olan dosyalarla sınırlıdır. |
| Azure Depolama dosya yükleme boyutu (önizleme) | Azure Depolama karşıya yüklemeleri 500 MB'a kadar olan dosyalarla sınırlıdır. |
| Sütun ve tablo kısıtlamaları | İzleme listelerinin sütunlar ve adlar için KQL varlık adlandırma kısıtlamalarına uyması gerekir. |
Microsoft Sentinel izleme listesi oluşturma yöntemleri
Microsoft Sentinel'de izleme listeleri oluşturmak için aşağıdaki yöntemlerden birini kullanın:
Yerel bir klasörden veya Azure Depolama hesabınızdan dosya yükleme.
Microsoft Sentinel'den bir izleme listesi şablonu indirin, verilerinizi ekleyin ve izleme listesini oluştururken dosyayı karşıya yükleyin.
Büyük bir dosyadan (500 MB'a kadar) izleme listesi oluşturmak için dosyayı Azure Depolama hesabınıza yükleyin. Microsoft Sentinel'in izleme listesi verilerini alabilmesi için paylaşılan erişim imzası (SAS) URL'si oluşturun. SAS URL'si, depolama hesabınızdaki CSV dosyası gibi bir kaynağın hem kaynak URI'sini hem de SAS belirtecini içerir. İzleme listesini Microsoft Sentinel'deki çalışma alanınıza ekleyin.
Daha fazla bilgi için bakınız:
- Microsoft Sentinel'de izleme listeleri oluşturma
- Yerleşik izleme listesi şemaları
- Azure Depolama SAS belirteci
Aramalar ve algılama kuralları için sorgulardaki izleme listeleri
İzleme listesi verilerinizi diğer Microsoft Sentinel verileriyle ilişkilendirmek için ve join gibi lookup Kusto tablo işleçlerini tabloyla Watchlist birlikte kullanın. Microsoft Sentinel, izleme listelerinize başvurmaya ve sorgulamaya yardımcı olmak için çalışma alanında aşağıdaki işlevleri oluşturur:
-
_GetWatchlistAlias- izleme listelerinizin takma adlarını döndürür -
_GetWatchlist- belirtilen izleme listesinin ad-değer çiftlerini sorgular
İzleme listesi oluşturduğunuzda SearchKey'i tanımlarsınız. Arama anahtarı, izleme listenizde diğer verilerle birleştirme veya sık kullanılan arama nesnesi olarak kullanmayı beklediğiniz sütunun adıdır. Örneğin, ülke/bölge adlarını ve bunların ilgili iki harfli ülke kodlarını içeren bir sunucu izleme listenize sahip olduğunuzu varsayalım. Ülke kodlarını aramalar veya birleşimler için sık sık kullanmayı bekliyorsunuz. Bu nedenle arama anahtarı olarak ülke kodu sütununu kullanırsınız.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
Şimdi diğer bazı örnek sorgulara bakalım.
Analiz kuralında izleme listesi kullanmak istediğinizi varsayalım. Bir izleme listesi oluşturursunuz, adı ipwatchlist, sütunları IPAddress ve Location. Sen IPAddress olarak SearchKey ayarladın.
IPAddress,Location |
|---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
İzleme listesine yalnızca IP adreslerinden gelen olayları eklemek için, değişken veya satır içi olarak kullanılan bir sorgu watchlist kullanabilirsiniz.
Bu örnek sorgu, izleme listesini değişken olarak kullanır:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
Bu örnek sorgu, izleme listesini sorgu ve izleme listesi için tanımlanan arama anahtarıyla birlikte satır içi olarak kullanır.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
Daha fazla bilgi için Bkz. Microsoft Sentinel'de izleme listeleriyle sorgular ve algılama kuralları oluşturma ve Kusto belgelerindeki aşağıdaki makaleler:
KQL hakkında daha fazla bilgi için bkz. Kusto Sorgu Dili (KQL) genel bakış.
Diğer kaynaklar:
İlgili içerik
Daha fazla bilgi için bakınız: