Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Watchlists in Microsoft Sentinel helfen Sicherheitsanalysten beim effizienten Korrelieren und Anreichern von Ereignisdaten. Sie bieten Ihnen eine flexible Möglichkeit zum Verwalten von Referenzdaten, wie z. B. Listen mit hochwertigen Vermögenswerten oder ausgeschiedenen Mitarbeitern. Integrieren Sie Watchlists in Ihre Erkennungsregeln, Bedrohungssuche und Reaktionsworkflows, um die Ermüdung von Warnungen zu reduzieren und schneller auf Bedrohungen zu reagieren. In diesem Artikel wird erläutert, wie Sie Watchlists in Microsoft Sentinel verwenden, wichtige Szenarien und Einschränkungen skizziert und Anleitungen zum Erstellen und Abfragen von Watchlists zur Verbesserung Ihrer Sicherheitsvorgänge bietet.
Sie können Watchlists in Ihrer Suche, für Erkennungsregeln, bei der Bedrohungssuche sowie in Reaktionsplaybooks verwenden. Watchlists werden in Ihrem Microsoft Sentinel-Arbeitsbereich in der Watchlist Tabelle als Name-Wert-Paare gespeichert. Sie werden für optimale Abfrageleistung und niedrige Latenz zwischengespeichert.
Wichtig
Die Features für Watchlist-Vorlagen und die Möglichkeit zum Erstellen einer Watchlist aus einer Datei in Azure Storage befinden sich derzeit in DER VORSCHAU. Die ergänzenden Bedingungen für Azure Preview enthalten zusätzliche rechtliche Bestimmungen, die für Azure-Features gelten, die sich in der Betaversion, Vorschau oder noch nicht in der allgemeinen Verfügbarkeit befinden.
Verwendung von Watchlists
Verwenden Sie Watchlists in diesen Szenarien:
Untersuchen Sie Bedrohungen und reagieren Sie schnell auf Vorfälle, indem Sie IP-Adressen, Dateihashes und andere Daten aus CSV-Dateien importieren. Nachdem Sie die Daten importiert haben, verwenden Sie Watchlist-Name-Wert-Paare für Verknüpfungen und Filter in Warnungsregeln, Bedrohungssuche, Arbeitsmappen, Notizbüchern und Abfragen.
Importieren von Geschäftsdaten als Watchlist. Importieren Sie z. B. Benutzerlisten mit privilegiertem Systemzugriff oder Listen beendeter Mitarbeiter. Verwenden Sie dann die Watchlist, um Zulassungslisten und Blocklisten zu erstellen, um zu erkennen oder zu verhindern, dass sich diese Benutzer beim Netzwerk anmelden.
Reduzieren Sie Alarmmüdigkeit. Erstellen Sie Zulassungslisten, um Warnungen aus einer Gruppe von Benutzern zu unterdrücken, z. B. Benutzer von autorisierten IP-Adressen, die Aufgaben ausführen, die normalerweise die Warnung auslösen würden. Verhindern Sie, dass unbedenkliche Ereignisse Warnungen auslösen.
Anreichern von Ereignisdaten. Verwenden Sie Watchlists, um Name-Wert-Kombinationen aus externen Datenquellen zu Ihren Ereignisdaten hinzuzufügen.
Watchlist-Einschränkungen
Es wird empfohlen, die folgenden Einschränkungen vor dem Erstellen von Watchlists zu überprüfen:
| Einschränkung | Einzelheiten |
|---|---|
| Watchlist-Name und Aliaslänge | Überwachungslistennamen und Aliase müssen zwischen 3 und 64 Zeichen bestehen. Erste und letzte Zeichen müssen alphanumerisch sein; dazwischen sind Leerzeichen, Bindestriche und Unterstriche erlaubt. |
| Beabsichtigte Verwendung | Verwenden Sie Watchlists nur für Referenzdaten. Watchlists sind nicht für große Datenvolumes ausgelegt. |
| Maximale anzahl aktiver Watchlist-Elemente | Sie können maximal 10 Millionen aktive Watchlist-Elemente in allen Watchlists in einem Arbeitsbereich haben. Gelöschte Elemente zählen nicht. Verwenden Sie für größere Volumes benutzerdefinierte Protokolle. |
| Datenaufbewahrung | Daten in der Log Analytics Watchlist-Tabelle werden 28 Tage lang aufbewahrt. |
| Aktualisierungsintervall | Watchlists werden alle 12 Tage aktualisiert und das TimeGenerated Feld aktualisiert. |
| Arbeitsbereichübergreifende Verwaltung | Das Verwalten von Watchlists in Arbeitsbereichen mit Azure Lighthouse wird nicht unterstützt. |
| Größe des lokalen Dateiuploads | Lokale Dateiuploads sind auf Dateien von bis zu 3,8 MB beschränkt. |
| Größe des Azure Storage-Dateiuploads (Vorschau) | Azure Storage-Uploads sind auf Dateien von bis zu 500 MB beschränkt. |
| Einschränkungen für Spalten und Tabellen | Spalten und Namen in Watchlists müssen den Einschränkungen für die Benennung von KQL-Entitäten folgen. |
Erstellungsmethoden für Microsoft Sentinel-Watchlist
Verwenden Sie eine der folgenden Methoden zum Erstellen von Watchlists in Microsoft Sentinel:
Hochladen einer Datei aus einem lokalen Ordner oder aus Ihrem Azure Storage-Konto.
Laden Sie eine Watchlist-Vorlage von Microsoft Sentinel herunter, fügen Sie Ihre Daten hinzu, und laden Sie die Datei dann hoch, wenn Sie die Watchlist erstellen.
Um eine Watchlist aus einer großen Datei (bis zu 500 MB) zu erstellen, laden Sie die Datei in Ihr Azure Storage-Konto hoch. Erstellen Sie eine SAS-URL (Shared Access Signature), damit Microsoft Sentinel die Watchlist-Daten abrufen kann. Eine SAS-URL enthält sowohl den Ressourcen-URI als auch das SAS-Token für eine Ressource, z. B. eine CSV-Datei in Ihrem Speicherkonto. Fügen Sie die Watchlist zu Ihrem Arbeitsbereich in Microsoft Sentinel hinzu.
Weitere Informationen finden Sie unter:
Watchlists in Abfragen für Suchen und Erkennungsregeln
Um Ihre Watchlistdaten mit anderen Microsoft Sentinel-Daten zu korrelieren, verwenden Sie tabellarische Kusto-Operatoren wie join und lookup mit der Tabelle Watchlist. Microsoft Sentinel erstellt die folgenden Funktionen im Arbeitsbereich, um Ihre Watchlists zu referenzieren und abzufragen:
-
_GetWatchlistAlias- gibt die Aliase aller Ihrer Watchlists zurück -
_GetWatchlist: fragt die Name-Wert-Paare der angegebenen Watchlist ab
Wenn Sie eine Watchlist erstellen, definieren Sie den SearchKey. Der Suchschlüssel ist der Name einer Spalte in Ihrer Watchlist, die Sie als Verknüpfung (Join) mit anderen Daten oder als häufiges Suchobjekt verwenden möchten. Angenommen, Sie verfügen über eine Serverwatchlist, die Länder-/Regionsnamen und die jeweiligen aus zwei Buchstaben bestehenden Ländercodes enthält. Sie gehen davon aus, dass Sie die Landeskennzahlen häufig für Suchen oder Verknüpfungen verwenden. Also verwenden Sie die Ländercodespalte als Suchschlüssel.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
Sehen wir uns einige andere Beispielabfragen an.
Angenommen, Sie möchten eine Watchlist in einer Analyseregel verwenden. Sie erstellen eine Watchlist ipwatchlist mit Spalten für IPAddress und Location. Sie legen IPAddress als den Searchkey fest.
IPAddress,Location |
|---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
Um nur Ereignisse aus IP-Adressen in die Watchlist aufzunehmen, können Sie eine Abfrage verwenden, in der watchlist als Variable oder inline verwendet wird.
In dieser Beispielabfrage wird die Watchlist als Variable verwendet:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
In dieser Beispielabfrage wird die Watchlist in Verbindung mit der Abfrage und dem für die Watchlist definierten Suchschlüssel verwendet.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
Weitere Informationen finden Sie unter Erstellen von Abfragen und Erkennungsregeln mit Watchlists in Microsoft Sentinel und den folgenden Artikeln in der Kusto-Dokumentation:
Weitere Informationen zu KQL finden Sie unter Kusto Query Language (KQL)-Übersicht.
Weitere Ressourcen:
Verwandte Inhalte
Weitere Informationen finden Sie unter: