Microsoft Sentinel 中的監控清單幫助安全分析師有效關聯並豐富事件資料。 它們提供你靈活管理參考資料的方式,例如高價值資產清單或被解雇員工的清單。 將監控清單整合進偵測規則、威脅狩獵及應變工作流程中,以減少警示疲勞並加速對威脅的回應。 本文說明如何在 Microsoft Sentinel 中使用監視清單,概述關鍵情境與限制,並提供建立與查詢監視清單以強化安全運作的指引。
在搜尋、偵測規則、威脅狩獵和應對手冊中使用監視清單。 監視清單會以名稱與值對的形式儲存在你的 Microsoft Sentinel 工作區Watchlist表格中。 它們會被快取以達到最佳查詢效能和低延遲。
重要事項
監控清單範本的功能以及從 Azure 儲存檔案建立觀看清單的功能目前都在預覽階段。 Azure 預覽補充條款包含適用於 Azure 測試版、預覽版或其他尚未正式發布的功能的額外法律條款。
何時使用觀察清單
在以下情境下使用監視清單:
透過匯入 CSV 檔案中的 IP 位址、檔案雜湊值及其他資料,調查威脅並迅速回應事件。 匯入資料後,請使用監視清單名稱與值對來連結,並在警報規則、威脅狩獵、工作簿、筆記本和查詢中進行篩選。
將商業資料匯入 為監控清單。 例如,匯入具有特權系統存取權的使用者名單或被解雇員工名單。 接著,利用監視清單建立允許清單和封鎖清單,偵測或阻止這些使用者登入網路。
減少警戒疲勞。 建立允許清單來抑制來自一群使用者的警報,例如授權 IP 位址使用者執行通常會觸發警報任務的使用者。 防止無害事件變成警報。
豐富事件資料。 利用監視清單將來自外部資料來源的名稱與值組合加入事件資料。
觀察清單限制
我們建議在建立觀察清單前,先檢視以下限制事項:
| 限制 | 詳細資料 |
|---|---|
| 觀察名單名稱與別名長度 | 觀察清單名稱與別名必須介於3至64字元之間。 首尾字元必須為字母數字;中間允許使用空格、連字號和底線。 |
| 預期用途 | 只用監視清單作為參考資料。 監視清單不是為大量資料量設計的。 |
| 最大活躍監控清單項目 | 你在工作區中最多可以有 1,000 萬個活躍的觀察清單項目。 刪除的項目不算數。 對於較大的體積,可以使用 自訂的日誌。 |
| 資料保留 | Log Analytics 監控清單表中的資料會保留 28 天。 |
| 重新整理間隔 | 監控清單每 12 天更新一次,更新 TimeGenerated 欄位。 |
| 跨工作空間管理 | 使用 Azure Lighthouse 不支援跨工作空間管理監視清單。 |
| 本地檔案上傳大小 | 本地檔案上傳限制於最高 3.8 MB 的檔案。 |
| Azure 儲存檔案上傳大小 (預覽) | Azure 儲存裝置的上傳檔案容量限制在 500 MB 以內。 |
| 欄位與表格限制 | 監控清單必須遵守 KQL 實體欄位與名稱的命名限制 。 |
Microsoft Sentinel 監視清單建立方法
請使用以下方法之一在 Microsoft Sentinel 中建立監視清單:
從本地資料夾或 Azure 儲存帳號上傳檔案。
從 Microsoft Sentinel 下載一個監控清單範本,加入你的資料,然後在建立觀看清單時上傳檔案。
若要從最大 500 MB) (檔案建立追蹤清單,請將檔案上傳至 Azure 儲存帳號。 建立一個共享存取簽章 (SAS) URL,讓Microsoft Sentinel能取得監視清單資料。 SAS URL 包含資源 URI 和資源的 SAS 令牌,就像你儲存帳號中的 CSV 檔案一樣。 在 Microsoft Sentinel 中將監視清單加入你的工作區。
如需詳細資訊,請參閱:
搜尋與偵測規則查詢中的監視清單
若要將你的監控清單資料與其他 Microsoft Sentinel 資料關聯,請使用 Kusto 表格運算子,例如 join 和 lookup 與 表格。Watchlist Microsoft Sentinel 在工作空間中建立了以下函式,幫助你參考和查詢你的監視清單:
-
_GetWatchlistAlias- 回傳你所有監控清單的別名 -
_GetWatchlist- 查詢指定監視清單的名稱與值對
當你建立監視清單時,你會定義 SearchKey。 搜尋鍵是你觀察清單中一個欄位的名稱,你預期用它與其他資料連接或作為頻繁搜尋的物件。 舉例來說,假設你有一個伺服器監控清單,裡面包含國家/地區名稱及其對應的兩字母國家代碼。 你預期搜尋或加入時會經常使用國家代碼。 所以你用國家代碼欄位作為搜尋鍵。
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
讓我們來看看其他一些範例查詢。
假設你想在分析規則中使用監控清單。 你建立一個名為 ipwatchlist 的監視清單,欄位為 IPAddressLocation和 。 你設定 IPAddress 為 搜尋鍵。
IPAddress,Location |
|---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
若要只包含來自 IP 位址的事件,你可以使用查詢,其中 watchlist 作為變數或內嵌。
此範例查詢使用監視清單作為變數:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
此範例查詢使用與查詢內嵌的監視清單及為觀看清單定義的搜尋鍵。
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
欲了解更多資訊,請參閱 Microsoft Sentinel 中的「用監視清單建立查詢與偵測規則」以及 Kusto 文件中的以下文章:
欲了解更多關於KQL的資訊,請參閱Kusto 查詢語言 (KQL) 概述。
其他資源:
相關內容
如需詳細資訊,請參閱: