Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Las listas de observación de Microsoft Sentinel ayudan a los analistas de seguridad a correlacionar eficazmente y enriquecer los datos de eventos. Proporcionan una manera flexible de administrar datos de referencia, como listas de activos de alto valor o empleados terminados. Integre listas de seguimiento en las reglas de detección, la búsqueda de amenazas y los flujos de trabajo de respuesta para reducir la fatiga de las alertas y responder a las amenazas más rápido. En este artículo se explica cómo usar listas de seguimiento en Microsoft Sentinel, se describen los escenarios clave y las limitaciones, y se proporcionan instrucciones sobre cómo crear y consultar listas de seguimiento para mejorar las operaciones de seguridad.
Use estas listas en sus búsquedas, reglas de detección, búsqueda de amenazas y cuadernos de estrategias de respuesta. Las listas de reproducción se almacenan en el área de trabajo de Microsoft Sentinel en la tabla Watchlist como pares nombre-valor. Se almacenan en caché para obtener un rendimiento óptimo de las consultas y una latencia baja.
Importante
Las características de las plantillas de lista de reproducción y la capacidad de crear una lista de reproducción a partir de un archivo en Azure Storage se encuentran actualmente en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
Cuándo usar las listas de seguimiento
Use listas de seguimiento en estos escenarios:
Investigue amenazas y responda a incidentes rápidamente mediante la importación de direcciones IP, hashes de archivos y otros datos de archivos CSV. Una vez importados los datos, use los pares nombre-valor de lista de reproducción para combinaciones y filtros en reglas de alerta, búsqueda de amenazas, libros, cuadernos y consultas.
Importación de datos empresariales como una lista de seguimiento. Por ejemplo, importe listas de usuarios con acceso al sistema con privilegios o listas de empleados terminados. A continuación, use la lista de vigilancia para crear listas de permitidos y listas de bloqueados para detectar o prevenir que esos usuarios inicien sesión en la red.
Reducción de la fatiga por alerta. Cree listas admitidas para suprimir alertas de un grupo de usuarios, como los usuarios de direcciones IP autorizadas que realizan tareas que normalmente activarían la alerta. Evite que los eventos benignos se conviertan en alertas.
Enriquecimiento de datos de eventos. Use listas de reproducción para agregar combinaciones de nombre-valor de orígenes de datos externos a los datos de eventos.
Limitaciones de la lista de seguimiento
Se recomienda revisar las siguientes limitaciones antes de crear listas de reproducción:
| Limitación | Detalles |
|---|---|
| Nombre y longitud del alias de la lista de seguimiento | Los nombres y alias de la lista de seguimiento deben tener entre 3 y 64 caracteres. Los caracteres primero y último deben ser alfanuméricos; espacios, guiones y caracteres de subrayado permitidos entre. |
| Uso previsto | Use listas de seguimiento solo para los datos de referencia. Las listas de seguimiento no están diseñadas para grandes volúmenes de datos. |
| Número máximo de elementos de la lista de reproducción activa | Puede tener un máximo de 10 millones de elementos de lista de seguimiento activos en todas las listas de seguimiento de un área de trabajo. Los elementos eliminados no cuentan. Para volúmenes más grandes, use registros personalizados. |
| Retención de datos | Los datos de la tabla Watchlist de Log Analytics se conservan durante 28 días. |
| Intervalo de actualización | Las listas de reproducción se actualizan cada 12 días y actualizan el TimeGenerated campo. |
| Administración entre áreas de trabajo | No se admite la administración de listas de seguimiento a través de áreas de trabajo mediante Azure Lighthouse. |
| Tamaño de carga del archivo local | Las cargas de archivos locales se limitan a archivos de hasta 3,8 MB. |
| Tamaño de carga de archivos de Azure Storage (versión preliminar) | Las cargas de Azure Storage se limitan a archivos de hasta 500 MB. |
| Restricciones de columnas y tablas | Las listas de seguimiento deben seguir las restricciones de nomenclatura de entidades de KQL para columnas y nombres. |
Métodos de creación de listas de seguimiento de Microsoft Sentinel
Use uno de los métodos siguientes para crear listas de reproducción en Microsoft Sentinel:
Carga de un archivo desde una carpeta local o desde la cuenta de Azure Storage.
Descargue una plantilla de lista de reproducción de Microsoft Sentinel, agregue los datos y cargue el archivo al crear la lista de reproducción.
Para crear una lista de reproducción a partir de un archivo grande (hasta 500 MB), cargue el archivo en su cuenta de Azure Storage. Cree una URL de firma de acceso compartido (SAS) para que Microsoft Sentinel pueda recuperar los datos de la lista de vigilancia. Una dirección URL de SAS incluye el URI de recurso y el token de SAS para un recurso, como un archivo CSV en la cuenta de almacenamiento. Agregue la lista de vigilancia a su área de trabajo en Microsoft Sentinel.
Para obtener más información, consulte:
- Creación de listas de control en Microsoft Sentinel
- Esquemas de listas de seguimiento integrados
- Token de SAS de Azure Storage
Listas de seguimiento en consultas para búsquedas y reglas de detección
Para correlacionar los datos de la lista de reproducción con otros datos de Microsoft Sentinel, use operadores tabulares de Kusto, como join y lookup con la tabla Watchlist. Microsoft Sentinel crea las siguientes funciones en el área de trabajo para ayudar a hacer referencia a las listas de reproducción y consultarlas:
-
_GetWatchlistAlias- devuelve los alias de todas tus listas de seguimiento. -
_GetWatchlist: consulta los pares nombre-valor de la lista de reproducción especificada
Cuando crea una lista de seguimiento, debe definir la SearchKey. La clave de búsqueda es el nombre de una columna en la lista de seguimiento que espera usar como combinación con otros datos o como objeto frecuente de búsquedas. Por ejemplo, supongamos que tiene una lista de seguimiento de servidores que contiene nombres de países o regiones y los códigos de país de dos letras correspondientes. Espera usar los códigos de país a menudo para búsquedas o combinaciones. Por lo tanto, usa la columna de código de país como clave de búsqueda.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
Echemos un vistazo a otras consultas de ejemplo.
Supongamos que quiere usar una lista de seguimiento en una regla de análisis. Cree una lista de reproducción denominada ipwatchlist con columnas para IPAddress y Location. Se establece IPAddress como SearchKey.
IPAddress,Location |
|---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
Para incluir solo eventos de direcciones IP en la lista de vigilancia, puede usar una consulta en la que watchlist se utilice como variable o se inserte directamente.
En esta consulta de ejemplo se usa la lista de reproducción como variable:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
En esta consulta de ejemplo se usa la lista de seguimiento en línea con la consulta y la clave de búsqueda definida para la lista de seguimiento.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
Para obtener más información, consulte Compilación de consultas y reglas de detección con listas de seguimiento en Microsoft Sentinel y los siguientes artículos en la documentación de Kusto:
Para más información sobre KQL, consulte Introducción al Lenguaje de consulta Kusto (KQL).
Otros recursos:
Contenido relacionado
Para obtener más información, consulte: