Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Listy kontrolne w usłudze Microsoft Sentinel ułatwiają analitykom zabezpieczeń efektywne korelowanie i wzbogacanie danych zdarzeń. Zapewniają one elastyczny sposób zarządzania danymi referencyjnymi, takimi jak listy zasobów o wysokiej wartości lub zakończonych pracowników. Integruj listy obserwacyjne z regułami wykrywania, wyszukiwaniem zagrożeń i przepływami pracy reagowania na zagrożenia, aby zmniejszyć zmęczenie powiadomieniami i szybciej odpowiadać na zagrożenia. W tym artykule wyjaśniono, jak używać list do obejrzenia w usłudze Microsoft Sentinel, opisano kluczowe scenariusze i ograniczenia oraz przedstawiono wskazówki dotyczące tworzenia i wykonywania zapytań dotyczących list obserwowanych w celu ulepszenia operacji zabezpieczeń.
Użyj list do obejrzenia w podręcznikach wyszukiwania, reguł wykrywania, wyszukiwania zagrożeń i podręczników reagowania. Listy obserwowanych są przechowywane w obszarze roboczym usługi Microsoft Sentinel w Watchlist tabeli jako pary nazw-wartości. Są one buforowane w celu uzyskania optymalnej wydajności zapytań i małych opóźnień.
Ważne
Funkcje szablonów listy obserwowanych i możliwość tworzenia listy obserwowanych na podstawie pliku w usłudze Azure Storage są obecnie dostępne w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Kiedy należy używać list do obejrzenia
Użyj list obserwowanych w następujących scenariuszach:
Szybko badaj zagrożenia i reagowanie na zdarzenia, importując adresy IP, skróty plików i inne dane z plików CSV. Po zaimportowaniu danych użyj par nazwa-wartość listy obserwowanych dla sprzężeń i filtrów w regułach alertów, wyszukiwaniu zagrożeń, skoroszytach, notesach i zapytaniach.
Zaimportuj dane biznesowe jako listę obserwowaną. Na przykład zaimportuj listy użytkowników z uprzywilejowanym dostępem do systemu lub listy zwolnionych pracowników. Następnie użyj listy do obejrzenia, aby utworzyć listy dozwolonych i listy zablokowanych, aby wykryć lub uniemożliwić tym użytkownikom logowanie się do sieci.
Zmniejsz zmęczenie alertami. Utwórz listy dozwolonych, aby pomijać alerty z grupy użytkowników, takich jak użytkownicy z autoryzowanych adresów IP, którzy wykonują zadania, które normalnie wyzwalają alert. Zapobiegaj utracie alertów zdarzeń o łagodnym stanie się alertami.
Wzbogacanie danych zdarzeń. Użyj list obserwacyjnych, aby dodać kombinacje nazwa-wartość z zewnętrznych źródeł danych do Twoich danych zdarzeń.
Ograniczenia dotyczące listy obserwowanych
Zalecamy przejrzenie następujących ograniczeń przed utworzeniem list obserwacyjnych.
| Ograniczenie | Szczegóły |
|---|---|
| Nazwa listy obserwowanych i długość aliasu | Nazwy listy obserwowanych i aliasy muszą mieć od 3 do 64 znaków. Znaki pierwsze i ostatnie muszą być alfanumeryczne; spacje, łączniki i podkreślenia dozwolone między nimi. |
| Przeznaczenie | Używaj listy obserwacyjne wyłącznie do danych referencyjnych. Listy obserwacyjne nie są przeznaczone dla dużych ilości danych. |
| Maksymalna liczba aktywnych elementów listy obserwowanych | Możesz mieć maksymalnie 10 milionów aktywnych elementów listy obserwacji we wszystkich listach obserwacji w obszarze roboczym. Usunięte elementy nie są liczone. W przypadku większych woluminów użyj dzienników niestandardowych. |
| Przechowywanie danych | Dane w tabeli Log Analytics Watchlist są przechowywane przez 28 dni. |
| Interwał odświeżania | Listy obserwowanych są odświeżane co 12 dni, aktualizując TimeGenerated pole. |
| Zarządzanie między obszarami roboczymi | Zarządzanie listami monitorowania w środowiskach roboczych przy użyciu usługi Azure Lighthouse nie jest obsługiwane. |
| Maksymalny rozmiar pliku lokalnego do przesyłania | Przekazywanie plików lokalnych jest ograniczone do plików o rozmiarze do 3,8 MB. |
| Rozmiar przekazywania plików usługi Azure Storage (wersja zapoznawcza) | Przekazywanie usługi Azure Storage jest ograniczone do plików o rozmiarze do 500 MB. |
| Ograniczenia kolumn i tabeli | Listy kontrolne muszą być zgodne z ograniczeniami nazewnictwa jednostek języka KQL dla kolumn i nazw. |
Metody tworzenia listy obserwacyjnej Microsoft Sentinel
Użyj jednej z następujących metod, aby utworzyć listy do obejrzenia w usłudze Microsoft Sentinel:
Przekazywanie pliku z folderu lokalnego lub z konta usługi Azure Storage.
Pobierz szablon listy obserwowanych z usługi Microsoft Sentinel, dodaj dane, a następnie przekaż plik podczas tworzenia listy obserwowanych.
Aby utworzyć listę obserwowanych z dużego pliku (do 500 MB), przekaż plik na konto usługi Azure Storage. Utwórz adres URL sygnatury dostępu współdzielonego (SAS), aby usługa Microsoft Sentinel mogła pobrać dane listy obserwowanych. Adres URL z sygnaturą dostępu współdzielonego (SAS) zawiera zarówno URI zasobu, jak i token SAS dla zasobu, takiego jak plik CSV na Twoim koncie magazynu. Dodaj listę obserwacyjną do obszaru roboczego w usłudze Microsoft Sentinel.
Aby uzyskać więcej informacji, zobacz:
- Tworzenie list do obejrzenia w usłudze Microsoft Sentinel
- Wbudowane schematy listy obserwowanych
- Token SAS usługi Azure Storage
Listy obserwowanych w zapytaniach dotyczących reguł wyszukiwania i wykrywania
Aby skorelować dane listy obserwowanych z innymi danymi usługi Microsoft Sentinel, użyj operatorów tabelarycznych Kusto, takich jak join i lookup z tabelą Watchlist . Usługa Microsoft Sentinel tworzy następujące funkcje w obszarze roboczym, aby ułatwić odwoływanie się do list obserwowanych i wykonywanie zapytań o nie:
-
_GetWatchlistAlias— zwraca aliasy wszystkich Twoich list obserwacyjnych -
_GetWatchlist— wykonuje zapytania dotyczące par name-value określonej listy obserwowanych
Podczas tworzenia listy do obejrzenia należy zdefiniować wartość SearchKey. Klucz wyszukiwania to nazwa kolumny na liście obserwowanych, która ma być używana jako sprzężenie z innymi danymi lub częstym obiektem wyszukiwania. Załóżmy na przykład, że masz listę do obejrzenia serwera zawierającą nazwy kraju/regionu i odpowiednie dwuliterowe kody kraju. Oczekujesz, że kody krajów często będą używane do wyszukiwania lub sprzężenia. Dlatego użyjesz kolumny kodów kraju jako klucza wyszukiwania.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
Przyjrzyjmy się innym przykładowym zapytaniom.
Załóżmy, że chcesz użyć listy do obejrzenia w regule analizy. Utworzysz listę do obejrzenia o nazwie ipwatchlist z kolumnami dla IPAddress i Location. Ustawiasz IPAddress jako klucz wyszukiwania.
IPAddress,Location |
|---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
Aby uwzględnić tylko zdarzenia z adresów IP na liście obserwowanych, możesz użyć zapytania, w którym watchlist jest używana jako zmienna lub śródliniowa.
To przykładowe zapytanie używa listy obserwowanych jako zmiennej:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
To przykładowe zapytanie używa listy obserwowanych bezpośrednio w połączeniu z zapytaniem oraz kluczem wyszukiwania zdefiniowanym dla tej listy.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
Aby uzyskać więcej informacji, zobacz Tworzenie zapytań i reguł wykrywania za pomocą list obserwacyjnych w usłudze Microsoft Sentinel oraz poniższe artykuły w dokumentacji Kusto:
Aby uzyskać więcej informacji na temat języka KQL, zobacz omówienie język zapytań Kusto (KQL).
Inne zasoby:
Treści powiązane
Aby uzyskać więcej informacji, zobacz: