Microsoft Sentinel 中的關注清單

• 適用於:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel 中的關注列表可讓您將數據源中的數據與 Microsoft Sentinel 環境中的事件相互關聯。 例如，您可以建立具有高價值資產、已終止員工或服務帳戶清單的監看清單。

在您的搜尋、偵測規則、威脅搜尋和回應劇本中使用監看清單。

關注清單會以成對的名稱和數值形式儲存在 Microsoft Sentinel 工作區中，並快取處理以達到最佳查詢效能和低延遲。

重要

監看清單範本的功能，以及從 Azure 儲存體 檔案建立監看清單的功能目前處於預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版，或尚未發行的版本) 的其他法律條款。

使用關注清單的時機

使用關注清單來協助您解決下列案例：

• 透過從 CSV 檔案快速匯入 IP 位址、檔案哈希和其他數據，調查威脅 並快速回應事件。 匯入數據之後，請在警示規則、威脅搜捕、活頁簿、筆記本和一般查詢中使用監看清單名稱/值組來聯結和篩選。

• 將商務數據 匯入為關注清單。 例如，匯入具有特殊許可權系統存取權或終止員工的使用者清單。 然後，使用監看清單來建立允許清單和封鎖清單，以偵測或防止這些使用者登入網路。

• 減少警示疲勞。 建立allowlist來隱藏使用者群組的警示，例如執行通常會觸發警示之工作的授權IP位址的使用者。 防止良性事件成為警示。

• 擴充事件數據。 使用關注清單，透過衍生自外部資料源的名稱數值組合來擴充事件資料。

關注清單的限制

建立監看清單之前，請注意下列限制：

• 當您建立監看清單時，監看清單名稱和別名必須介於 3 到 64 個字元之間。 第一個字元和最後一個字元必須是字母或數字。 但是，您可以在第一個字元和最後一個字元之間包含空格符、連字元和底線。
• 監看清單的使用應受限於參考數據，因為它們並非針對大量數據量所設計。
• 單 一工作區中所有關注清單的活動關注清單項目 總數目前限製為 1000萬。 已刪除的監看清單專案不會計入此總計。 如果您需要參考大型數據磁碟區的能力，請考慮改用 自定義記錄 來擷取它們。
• 監看清單會每隔 12 天在您的工作區中重新整理，並 TimeGenerated 更新字段。
• 目前不支援使用 Lighthouse 管理不同工作區的監看清單。
• 本機檔案上傳目前限制為大小上限為 3.8 MB 的檔案。
• 檔案上傳自 Azure 儲存體 帳戶（預覽版）目前限制為大小上限為 500 MB 的檔案。
• 關注清單必須遵守與 KQL 實體相同的數據行和數據表限制。 如需詳細資訊，請參閱 KQL 實體名稱。

建立關注清單的選項

從您從本機資料夾或您 Azure 儲存體 帳戶中的檔案，在 Microsoft Sentinel 中建立監看清單。

您可以選擇從 Microsoft Sentinel 下載其中一個監看清單範本，以填入您的數據。 然後在您在 Microsoft Sentinel 中建立關注清單時上傳該檔案。

若要從大小高達 500 MB 的大型檔案建立監看清單，請將檔案上傳至您的 Azure 儲存體 帳戶。 然後建立 Microsoft Sentinel 的共用存取簽章 URL，以擷取關注清單數據。 共用存取簽章 URL 是一個 URI，其中包含資源 URI 和共用存取簽章令牌的資源，例如記憶體帳戶中的 csv 檔案。 最後，將監看清單新增至 Microsoft Sentinel 中的工作區。

如需詳細資訊，請參閱下列文章：

• 在 Microsoft Sentinel 中建立監看清單
• 內建關注清單架構
• Azure 儲存體 SAS 令牌

查詢中搜尋和偵測規則的監看清單

藉由將監看清單視為聯結和查閱的數據表，針對監看清單的數據查詢任何數據表中的數據。 當您建立監看清單時，您會定義 SearchKey。 搜尋索引鍵是您預期做為與其他數據聯結或經常搜尋物件的監看清單中的數據行名稱。 例如，假設您有伺服器監看清單，其中包含國家/地區名稱及其各自的雙字母國家/地區代碼。 您預期通常會使用國家/地區代碼進行搜尋或聯結。 因此，您可以使用國家/地區代碼數據行作為搜尋索引鍵。

下列範例查詢會 RemoteIPCountry 聯結數據表中的數據 Heartbeat 行，以及針對名為 mywatchlist的監看清單所定義的搜尋索引鍵。

   Heartbeat
  | lookup kind=leftouter _GetWatchlist('mywatchlist') 
   on $left.RemoteIPCountry == $right.SearchKey

讓我們看看其他一些範例查詢。

假設您想要在分析規則中使用關注清單。 您可以建立名為 ipwatchlist 的監看清單，其中包含 和Location的數據IPAddress行。 您會將 定義為 IPAddressSearchKey。

IPAddress,Location
10.0.100.11,Home
172.16.107.23,Work
10.0.150.39,Home
172.20.32.117,Work

若只要在關注清單中包含來自IP位址的事件，您可以使用查詢，其中監看清單會當做變數使用，或是使用監看清單內嵌的查詢。

下列範例查詢會使用關注清單作為變數：

  //Watchlist as a variable
  let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
  Heartbeat
  | where ComputerIP in (watchlist)

下列範例查詢會使用監看清單內嵌查詢，以及針對監看清單定義的搜尋索引鍵。

  //Watchlist inline with the query
  //Use SearchKey for the best performance
  Heartbeat
  | where ComputerIP in ( 
      (_GetWatchlist('ipwatchlist')
      | project SearchKey)
  )

如需詳細資訊，請參閱 在 Microsoft Sentinel 中使用關注清單建置查詢和偵測規則。

下一步

若要深入了解 Microsoft Sentinel，請參閱下列文章：

• 建立監看清單
• 使用關注清單建置查詢和偵測規則
• 管理監看清單
• 學習如何洞察資料及潛在威脅。
• 開始 使用 Microsoft Sentinel 來偵測威脅。
• 使用活頁簿 來監視您的數據。