Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Skoreluj dane listy obserwowanych z dowolnymi danymi usługi Microsoft Sentinel za pomocą operatorów tabelarycznych Kusto, takich jak join i lookup. Podczas tworzenia listy obserwowanych należy zdefiniować SearchKey. Klucz wyszukiwania to nazwa kolumny na liście obserwowanych, która ma być używana jako sprzężenie z innymi danymi lub częstym obiektem wyszukiwania.
Aby uzyskać optymalną wydajność zapytań, użyj SearchKey jako klucza do sprzężeń w zapytaniach.
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.
Począwszy od lipca 2026 r., wszyscy klienci korzystający z usługi Microsoft Sentinel w witrynie Azure Portal zostaną przekierowani do portalu usługi Defender i będą używać usługi Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych klientów jest automatycznie dołączanych i przekierowywanych do portalu usługi Defender.
Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).
Tworzenie zapytań za pomocą list obserwowanych
Aby użyć listy obserwacyjnej w zapytaniu wyszukiwania, napisz zapytanie Kusto, które używa funkcji _GetWatchlist('watchlist-name') i używa SearchKey jako klucza do połączenia.
Dla Microsoft Sentinel w portalu Defender wybierz Microsoft Sentinel>Konfiguracja>Lista obserwacyjna. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Konfiguracja wybierz pozycję Lista obserwowana.
Wybierz listę do obejrzenia, której chcesz użyć.
Wybierz Wyświetl w dziennikach.
Przejrzyj kartę Wyniki . Elementy na liście obserwowanych są automatycznie wyodrębniane dla zapytania.
W poniższym przykładzie przedstawiono wyniki wyodrębniania pól Nazwa i Adres IP . Klucz wyszukiwania jest wyświetlany jako własna kolumna.
Sygnatura czasowa zapytań zostanie zignorowana zarówno w interfejsie użytkownika zapytania, jak i w zaplanowanych alertach.
Napisz zapytanie, które używa funkcji _GetWatchlist('watchlist-name') i używa SearchKey jako klucza łączenia.
Na przykład następujące przykładowe zapytanie łączy kolumnę
RemoteIPCountrywHeartbeattabeli z kluczem wyszukiwania zdefiniowanym dla listy obserwowanej o nazwiemywatchlist.Heartbeat | lookup kind=leftouter _GetWatchlist('mywatchlist') on $left.RemoteIPCountry == $right.SearchKeyNa poniższej ilustracji przedstawiono wyniki tego przykładowego zapytania w usłudze Log Analytics.
Tworzenie reguły analizy z listą obserwowaną
Aby użyć list do obejrzenia w regułach analizy, utwórz regułę przy użyciu funkcji _GetWatchlist('watchlist-name') w zapytaniu.
W obszarze Konfiguracja wybierz pozycję Analiza.
Wybierz pozycję Utwórz i typ reguły, którą chcesz utworzyć.
Na karcie Ogólne wprowadź odpowiednie informacje.
Na karcie Ustaw logikę reguły użyj funkcji w zapytaniu w obszarze
_GetWatchlist('<watchlist>').Załóżmy na przykład, że masz listę obserwowaną o nazwie
ipwatchlistutworzoną na podstawie pliku CSV z następującymi wartościami:IPAddress,Location10.0.100.11,Home172.16.107.23,Work10.0.150.39,Home172.20.32.117,WorkPlik CSV wygląda podobnie do poniższej ilustracji.
Aby użyć funkcji w tym przykładzie
_GetWatchlist, zapytanie będzie następujące_GetWatchlist('ipwatchlist'): .
W tym przykładzie uwzględniamy tylko zdarzenia z adresów IP na liście obserwowanych:
//Watchlist as a variable let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress); Heartbeat | where ComputerIP in (watchlist)Poniższe przykładowe zapytanie używa wbudowanej listy kontrolnej z zapytaniem i kluczem wyszukiwania zdefiniowanym dla listy obserwowanych.
//Watchlist inline with the query //Use SearchKey for the best performance Heartbeat | where ComputerIP in ( (_GetWatchlist('ipwatchlist') | project SearchKey) )Na poniższej ilustracji przedstawiono to ostatnie zapytanie używane w zapytaniu reguły.
Wypełnij pozostałe karty w kreatorze reguł analizy.
Listy do obejrzenia są odświeżane w obszarze roboczym co 12 dni, aktualizując TimeGenerated pole. Aby uzyskać więcej informacji, zobacz Tworzenie niestandardowych reguł analizy w celu wykrywania zagrożeń.
Wyświetlanie listy aliasów listy obserwowanych
Może być konieczne wyświetlenie listy aliasów listy obserwowanych, aby zidentyfikować listę obserwowanych do użycia w regule zapytania lub analizy.
W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Ogólne wybierz pozycję Dzienniki.
W portalu usługi Defender wybierz pozycję Badanie i reagowanie>Wyszukiwanie>Zaawansowane wyszukiwanie zagrożeń.Na stronie Nowe zapytanie uruchom następujące zapytanie:
_GetWatchlistAlias.Przejrzyj listę aliasów na karcie Wyniki .
Więcej informacji na temat następujących elementów używanych w poprzednich przykładach można znaleźć w dokumentacji usługi Kusto:
- operator where
- operator projektu
- operator wyszukiwania
- operator in
- let instrukcja
Aby uzyskać więcej informacji na temat języka KQL, zobacz Omówienie języka Kusto Query Language (KQL).
Inne zasoby:
Powiązana zawartość
W tym dokumencie przedstawiono sposób używania list do obejrzenia w usłudze Microsoft Sentinel w celu wzbogacania danych i ulepszania badań. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły: