共用方式為


在 Microsoft Sentinel 中使用關注清單建置查詢或偵測規則

藉由將監看清單視為聯結和查閱的數據表,針對監看清單的數據查詢任何數據表中的數據。 當您建立監看清單時,您會定義 SearchKey。 搜尋索引鍵是您預期做為與其他數據聯結或經常搜尋物件的監看清單中的數據行名稱。

若要獲得最佳查詢效能,請使用 SearchKey 作為查詢中聯結的索引鍵。

重要

Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

使用關注清單建置查詢

若要在搜尋查詢中使用關注清單,請撰寫使用 _GetWatchlist('watchlist-name') 函式的 Kusto 查詢,並使用 SearchKey 作為聯結的索引鍵。

  1. 針對 Azure 入口網站 中的 Microsoft Sentinel,在 [設定] 底下,選取 [監看式清單]。
    針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel>設定>監看清單]。

  2. 選取您想要使用的監看清單。

  3. 選取 [ 記錄] 中的 [檢視]。

    顯示如何在查詢中使用關注清單的螢幕快照。

  4. 檢閱 [結果] 索引標籤。監看清單中的項目會自動擷取您的查詢。

    下列範例顯示擷取 [名稱 ] 和 [IP 位址 ] 字段的結果。 SearchKey 會顯示為自己的數據行。

    顯示具有關注清單欄位之查詢的螢幕快照。

    查詢 UI 和排程警示中都會忽略查詢的時間戳。

  5. 撰寫使用 _GetWatchlist('watchlist-name') 函式的查詢,並使用 SearchKey 作為聯結的索引鍵。

    例如,下列範例查詢會 RemoteIPCountry 聯結數據表中的數據 Heartbeat 行,以及針對名為 mywatchlist的監看清單所定義的搜尋索引鍵。

    Heartbeat
    | lookup kind=leftouter _GetWatchlist('mywatchlist') 
     on $left.RemoteIPCountry == $right.SearchKey
    

    下圖顯示 Log Analytics 中此範例查詢的結果。

    針對關注清單進行查詢的螢幕快照。查閱。

使用關注清單建立分析規則

若要在分析規則中使用關注清單,請在查詢中使用 _GetWatchlist(『watchlist-name』) 函式建立規則。

  1. 在 [設定] 底下,選取 [分析]。

  2. 選取 [ 建立 ] 和您要建立的規則類型。

  3. 在 [ 一般] 索引標籤上,輸入適當的資訊。

  4. 在 [設定規則邏輯] 索引標籤的 [規則查詢] 底下,使用_GetWatchlist('<watchlist>')查詢中的 函式。

    例如,假設您有一 ipwatchlist 個名為 的監看清單,該監看清單是使用下列值從 CSV 檔案建立的:

    IPAddress,Location
    10.0.100.11,Home
    172.16.107.23,Work
    10.0.150.39,Home
    172.20.32.117,Work

    CSV 檔案看起來像下圖。 CSV 檔案中用於監看清單的四個項目螢幕快照。

    若要針對此範例使用 函 _GetWatchlist 式,您的查詢會是 _GetWatchlist('ipwatchlist')

    顯示查詢的螢幕快照會從監看清單傳回四個專案。

    在此範例中,我們只會在關注清單中包含來自IP位址的事件:

    //Watchlist as a variable
    let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
    Heartbeat
    | where ComputerIP in (watchlist)
    

    下列範例查詢會使用監看清單內嵌查詢,以及針對監看清單定義的搜尋索引鍵。

    //Watchlist inline with the query
    //Use SearchKey for the best performance
    Heartbeat
    | where ComputerIP in ( 
        (_GetWatchlist('ipwatchlist')
        | project SearchKey)
    )
    

    下圖顯示規則查詢中使用的最後一個查詢。

    顯示如何在分析規則中使用關注清單的螢幕快照。

  5. 完成分析規則精靈中的其餘索引標籤。

監看清單會每隔 12 天在您的工作區中重新整理,並 TimeGenerated 更新字段。 如需詳細資訊,請參閱 建立自定義分析規則來偵測威脅

檢視關注清單別名的清單

您可能需要查看監看清單別名清單,以識別要用於查詢或分析規則的監看清單。

  1. 針對 Azure 入口網站 中的 Microsoft Sentinel,在 [一般] 底下選取 [記錄]。
    在 Defender 入口網站中,選取 [調查與回應>搜捕進階搜捕]。>

  2. 在 [ 新增查詢] 頁面上,執行下列查詢: _GetWatchlistAlias

  3. 檢閱 [結果] 索引標籤中的別名清單。

    顯示關注清單清單的螢幕快照。

在本檔中,您已瞭解如何在 Microsoft Sentinel 中使用關注清單來擴充數據並改善調查。 若要深入了解 Microsoft Sentinel,請參閱下列文章: