Microsoft Sentinel 中的關注清單
Microsoft Sentinel 中的關注清單可讓您將資料來源中的資料與 Microsoft Sentinel 環境中的事件相互關聯。 例如,您可能會建立環境中具有高價值資產、已終止員工或服務帳戶清單的關注清單。
您可以在搜尋、偵測規則、威脅搜捕以及回應手冊中使用關注清單。
關注清單會以成對的名稱和數值形式儲存在 Microsoft Sentinel 工作區中,並快取處理以達到最佳查詢效能和低延遲。
重要
關注清單範本的功能,以及從Azure 儲存體檔案建立關注清單的功能目前為預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
關注清單的使用時機
使用關注清單可協助您處理下列案例:
快速從 CSV 檔案匯入 IP 位址、檔案雜湊和其他資料,以調查威脅並快速回應事件。 匯入資料後,您可以使用成對的關注清單名稱與值進行聯結及篩選,運用於警示規則、威脅搜捕、活頁簿、筆記本及一般查詢中。
將商務資料匯出為關注清單。 例如,匯入具有特殊權限系統存取權的使用者清單,或離職員工清單。 然後,使用關注清單建立允許清單和封鎖清單,以偵測或防止這些使用者登入網路。
減輕警示疲勞。 建立允許清單讓警示對特定群組的使用者隱藏,例如來自已授權 IP 位址的使用者,這些使用者執行的工作通常會觸發警示。 防止良性事件成為警示。
擴充事件資料。 使用關注清單,透過衍生自外部資料源的名稱數值組合來擴充事件資料。
關注清單的限制
建立關注清單之前,請注意下列限制:
- 當您建立關注清單時,關注清單名稱和別名必須介於 3 到 64 個字元之間。 第一個字元和最後一個字元必須是字母或數字。 但是,您可以在第一個字元和最後一個字元之間包含空白字元、連字號和底線。
- 關注清單應限用於參考資料,因為這些清單不是針對大型資料磁碟區而設計的。
- 單一工作區中所有關注清單的作用中關注清單項目總數目前限制為 1000 萬。 已刪除的關注清單項目不會計入此總數中。 如果您需要參考大型資料磁碟區的能力,請考慮改用自訂記錄加以擷取。
- 關注清單會每隔 12 天在您的工作區中重新整理,並更新
TimeGenerated
欄位。 - 目前不支援使用 Lighthouse 管理不同工作區的關注清單。
- 本地檔案上傳目前僅限大小上限為 3.8 MB 的檔案。
- Azure 儲存體帳戶的檔案上傳 (預覽階段) 目前限制為大小不超過 500 MB 的檔案。
- 關注清單必須遵守與 KQL 實體相同的資料行和資料表限制。 如需詳細資訊,請參閱 KQL 實體名稱。
建立關注清單的選項
透過您從本機資料夾上傳的檔案,或從您 Azure 儲存體帳戶中的檔案,在 Microsoft Sentinel 中建立關注清單。
您可以選擇從 Microsoft Sentinel 下載其中一個關注清單範本,以填入您的資料。 然後在 Microsoft Sentinel 中建立關注清單時上傳該檔案。
若要從大小可達 500 MB 的大型檔案建立關注清單,請將檔案上傳至您的 Azure 儲存體帳戶。 然後建立 Microsoft Sentinel 的共用存取簽章 URL 以擷取關注清單資料。 共用存取簽章 URL 是一個 URI,其中包含資源 URI 和資源 (例如儲存體帳戶中的 csv 檔案) 的共用存取簽章權杖。 最後,將關注清單新增至 Microsoft Sentinel 中的工作區。
如需詳細資訊,請參閱下列文章:
查詢中用於搜尋和偵測規則的關注清單
將關注清單視為可供聯結和查閱的資料表,根據關注清單中的資料來查詢任何資料表中的資料。 在建立關注清單時,您會定義 SearchKey。 搜尋索引鍵是您預期作為與其他資料聯結或常用搜尋物件的關注清單中資料行的名稱。 例如,假設您有一個伺服器關注清單,其中包含國家/地區名稱及其各自的雙字母國家/地區代碼。 您預期國碼 (地區碼) 通常會用於搜尋或聯結。 因此,您使用國家/地區代碼資料行作為搜尋索引鍵。
下列範例查詢會將 Heartbeat
資料表中的 RemoteIPCountry
資料行與名為 mywatchlist
的關注清單所定義的搜尋索引鍵相聯結。
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
我們來看看一些其他範例查詢。
假設您想要在分析規則中使用關注清單。 您可以建立名為 ipwatchlist
的監看清單,其中包含 IPAddress
和 Location
的資料行。 您會將 IPAddress
定義為 SearchKey。
IPAddress,Location |
---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
若要只在關注清單中包含來自 IP 位址的事件,您可以使用將關注清單作為變數的查詢,或以內嵌方式使用關注清單的查詢。
下列範例查詢使用關注清單作為變數:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
下列範例查詢以內嵌方式在查詢中使用關注清單,以及為關注清單定義的搜尋索引鍵。
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
如需詳細資訊,請參閱在 Microsoft Sentinel 中使用關注清單建置查詢和偵測規則。
下一步
若要深入了解 Microsoft Sentinel,請參閱下列文章:
- 建立關注清單
- 使用關注清單建置查詢和偵測規則
- 管理關注清單
- 學習如何洞察資料及潛在威脅。
- 開始 使用 Microsoft Sentinel 來偵測威脅。
- 使用活頁簿監視資料。