Aracılığıyla paylaş

Microsoft Sentinel'de izleme listeleriyle sorgular veya algılama kuralları oluşturma

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

İzleme listesini birleşimler ve aramalar için bir tablo olarak değerlendirerek herhangi bir tablodaki verileri izleme listesindeki verilerle sorgular. İzleme listesi oluşturduğunuzda SearchKey'i tanımlarsınız. Arama anahtarı, izleme listenizde diğer verilerle birleştirme veya sık kullanılan arama nesnesi olarak kullanmayı beklediğiniz sütunun adıdır.

En iyi sorgu performansı için, sorgularınızdaki birleştirmeler için anahtar olarak SearchKey kullanın.

Önemli

Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

İzleme listeleriyle sorgu oluşturma

Arama sorgusunda izleme listesi kullanmak için, _GetWatchlist('watchlist-name') işlevini kullanan ve katılımınızın anahtarı olarak SearchKey kullanan bir Kusto sorgusu yazın.

  1. Azure portalında Microsoft Sentinel için Yapılandırma'nın altında İzleme Listesi'ni seçin.
    Defender portalında Microsoft Sentinel için Microsoft Sentinel>Yapılandırma>İzleme Listesi'ni seçin.

  2. Kullanmak istediğiniz izleme listesini seçin.

  3. Günlüklerde Görüntüle'yi seçin.

    Sorgularda izleme listelerinin nasıl kullanılacağını gösteren ekran görüntüsü.

  4. Sonuçlar sekmesini gözden geçirin. İzleme listenizdeki öğeler sorgunuz için otomatik olarak ayıklanır.

    Aşağıdaki örnekte Ad ve IP Adresi alanlarının ayıklama sonuçları gösterilmektedir. SearchKey kendi sütunu olarak gösterilir.

    İzleme listesi alanları olan sorguları gösteren ekran görüntüsü.

    Sorgularınızdaki zaman damgası hem sorgu kullanıcı arabiriminde hem de zamanlanmış uyarılarda yoksayılır.

  5. _GetWatchlist('watchlist-name') işlevini kullanan ve birleştirmenizin anahtarı olarak SearchKey kullanan bir sorgu yazın.

    Örneğin, aşağıdaki örnek sorgu, adlı izleme listesi mywatchlistiçin tanımlanan arama anahtarıyla tablodaki sütunu Heartbeat birleştirirRemoteIPCountry.

    Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist') 
 on $left.RemoteIPCountry == $right.SearchKey

    Aşağıdaki görüntüde Log Analytics'te bu örnek sorgunun sonuçları gösterilmektedir.

    arama olarak izleme listesindeki sorguların ekran görüntüsü.

İzleme listesiyle analiz kuralı oluşturma

analiz kurallarında izleme listelerini kullanmak için sorgudaki _GetWatchlist('watchlist-name') işlevini kullanarak bir kural oluşturun.

  1. Yapılandırma'nın altında Analiz'i seçin.

  2. Oluştur'u ve oluşturmak istediğiniz kural türünü seçin.

  3. Genel sekmesinde uygun bilgileri girin.

  4. Kural mantığını ayarla sekmesindeki Kural sorgusu altında sorgudaki işlevi kullanın_GetWatchlist('<watchlist>').

    Örneğin, aşağıdaki değerleri içeren bir CSV dosyasından oluşturduğunuz adlı ipwatchlist bir izleme listenize sahip olduğunuzu varsayalım:

    IPAddress,Location
    10.0.100.11,Home
    172.16.107.23,Work
    10.0.150.39,Home
    172.20.32.117,Work

    CSV dosyası aşağıdaki görüntüye benzer. İzleme listesi için kullanılan csv dosyasındaki dört öğenin ekran görüntüsü.

    Bu örnekte işlevini _GetWatchlist kullanmak için sorgunuz olacaktır _GetWatchlist('ipwatchlist').

    Sorgunun izleme listesindeki dört öğeyi döndürdüğünü gösteren ekran görüntüsü.

    Bu örnekte, izleme listesine yalnızca IP adreslerinden gelen olayları dahil ediyoruz:

    //Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)

    Aşağıdaki örnek sorgu, izleme listesi satır içi sorgusunu ve izleme listesi için tanımlanan arama anahtarını kullanır.

    //Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in ( 
    (_GetWatchlist('ipwatchlist')
    | project SearchKey)
)

    Aşağıdaki görüntüde, kural sorgusunda kullanılan son sorgu gösterilmektedir.

    Analiz kurallarında izleme listelerinin nasıl kullanılacağını gösteren ekran görüntüsü.

  5. Analiz kuralı sihirbazındaki diğer sekmeleri tamamlayın.

İzleme listeleri çalışma alanınızda her 12 günde bir yenilenir ve alanı güncelleştirir TimeGenerated . Daha fazla bilgi için bkz . Tehditleri algılamak için özel analiz kuralları oluşturma.

İzleme listesi diğer adlarının listesini görüntüleme

Bir sorgu veya analiz kuralında kullanılacak bir izleme listesini tanımlamak için izleme listesi diğer adlarının listesini görmeniz gerekebilir.

  1. Azure portalında Microsoft Sentinel için Genel'in altında Günlükler'i seçin.
    Defender portalında Araştırma ve yanıt>Avcılığı Gelişmiş avcılığı'nı> seçin.

  2. Yeni Sorgu sayfasında aşağıdaki sorguyu çalıştırın: _GetWatchlistAlias.

  3. Sonuçlar sekmesinde diğer ad listesini gözden geçirin.

    İzleme listelerinin listesini gösteren ekran görüntüsü.

İlgili içerik

Bu belgede, verileri zenginleştirmek ve araştırmalarını geliştirmek için Microsoft Sentinel'deki izleme listelerini kullanmayı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın: