Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
As listas de observação no Microsoft Sentinel ajudam os analistas de segurança a correlacionar e enriquecer dados de eventos com eficiência. Eles oferecem uma maneira flexível de gerenciar dados de referência, como listas de ativos de alto valor ou funcionários encerrados. Integre as watchlists às regras de detecção, à busca de ameaças e aos fluxos de trabalho de resposta para reduzir a fadiga de alertas e responder a ameaças mais rapidamente. Este artigo explica como usar watchlists no Microsoft Sentinel, descreve os principais cenários e limitações e fornece diretrizes sobre como criar e consultar watchlists para aprimorar suas operações de segurança.
Use watchlists em sua pesquisa, regras de detecção, busca de ameaças e guias estratégicos de resposta. As listas de observação são armazenadas no workspace do Microsoft Sentinel na tabela Watchlist como pares nome-valor. Eles são armazenados em cache para um desempenho de consulta ideal e baixa latência.
Importante
Os recursos dos modelos watchlist e a capacidade de criar uma watchlist de um arquivo no Armazenamento do Microsoft Azure estão atualmente em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Quando usar o watchlists
Utilize listas de observação nestes cenários:
Investigue ameaças e responda rapidamente a incidentes importando endereços IP, hashes de arquivo e outros dados de arquivos CSV. Depois de importar os dados, use pares nome-valor da lista de inspeção para junções e filtros em regras de alerta, busca de ameaças, pastas de trabalho, notebooks e consultas.
Importar dados empresariais como uma watchlist. Por exemplo, importe listas de usuários com acesso privilegiado do sistema ou listas de funcionários encerrados. Em seguida, use a watchlist para criar listas de permissões e listas de bloqueio para detectar ou impedir que esses usuários entrem na rede.
Reduzir o fadiga de alerta. Crie listas de permissões para suprimir alertas de um grupo de usuários, como usuários de endereços IP autorizados que executam tarefas que normalmente disparam o alerta. Impeça que eventos benignos se tornem alertas.
Enriquecer dados de evento. Use listas de observação para adicionar combinações de nome-valor de fontes de dados externas aos dados de eventos.
Limitações da lista de acompanhamento
Recomendamos revisar as seguintes limitações antes de criar watchlists:
| Limitação | Detalhes |
|---|---|
| Comprimento do nome e do alias da lista de observação | Os nomes e aliases da lista de observação devem ter entre 3 e 64 caracteres. Os primeiros e últimos caracteres devem ser alfanuméricos; e os espaços, os hifens e os sublinhados são permitidos entre eles. |
| Uso pretendido | Use watchlists somente para dados de referência. As watchlists não são projetadas para grandes volumes de dados. |
| Máximo de itens ativos na lista de observação | Você pode ter no máximo 10 milhões de itens de watchlist ativos em todas as watchlists em um workspace. Itens excluídos não contam. Para volumes maiores, use logs personalizados. |
| Retenção de dados | Os dados na tabela Watchlist do Log Analytics são mantidos por 28 dias. |
| Intervalo de atualização | As listas de observação são atualizadas a cada 12 dias, atualizando o TimeGenerated campo. |
| Gerenciamento entre espaços de trabalho | Não há suporte para o gerenciamento de watchlists em workspaces usando o Azure Lighthouse. |
| Tamanho do upload do arquivo local | Os uploads de arquivos locais são limitados a arquivos de até 3,8 MB. |
| Tamanho do upload do arquivo do Armazenamento do Azure (versão prévia) | Os uploads do Armazenamento do Azure são limitados a arquivos de até 500 MB. |
| Restrições de coluna e tabela | As listas de observação devem seguir restrições de nomenclatura de entidade KQL para colunas e nomes. |
Métodos de criação de watchlist do Microsoft Sentinel
Use um dos seguintes métodos para criar watchlists no Microsoft Sentinel:
Carregando um arquivo de uma pasta local ou de sua conta de Armazenamento do Azure.
Baixe um modelo de watchlist do Microsoft Sentinel, adicione seus dados e carregue o arquivo ao criar a watchlist.
Para criar uma watchlist de um arquivo grande (até 500 MB), carregue o arquivo em sua conta de Armazenamento do Azure. Crie uma URL de SAS (assinatura de acesso compartilhado) para que o Microsoft Sentinel possa recuperar os dados da lista de observação. Uma URL SAS inclui o URI do recurso e o token SAS para um recurso, como um arquivo CSV em sua conta de armazenamento. Adicione a watchlist ao seu workspace no Microsoft Sentinel.
Para obter mais informações, consulte:
- Criar watchlists no Microsoft Sentinel
- Esquemas de watchlist internos
- Token SAS do Armazenamento do Azure
Watchlists em consultas de pesquisas e regras de detecção
Para correlacionar seus dados de watchlist com outros dados do Microsoft Sentinel, use operadores de tabela Kusto, como join e lookup com a tabela Watchlist. O Microsoft Sentinel cria as seguintes funções no workspace para ajudar a referenciar e consultar suas watchlists:
-
_GetWatchlistAlias- retorna os aliases de todas as suas watchlists -
_GetWatchlist- consulta os pares nome-valor da watchlist especificada
Ao criar uma watchlist, você define a SearchKey. O termo de pesquisa é o nome de uma coluna em sua watchlist que você espera usar como uma junção com outros dados ou como um objeto frequente de pesquisas. Por exemplo, suponha que você tenha uma lista de observação de servidor que contenha nomes de países/regiões e seus respectivos códigos de país/região com duas letras. Você espera usar os códigos de país frequentemente para pesquisa ou junções. Portanto, você usa a coluna de código do país como o termo de pesquisa.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
Vamos examinar algumas outras consultas de exemplo.
Suponha que você deseja usar uma watchlist em uma regra de análise. Você cria uma lista de observação chamada ipwatchlist com colunas para IPAddress e Location. Você define IPAddress como SearchKey.
IPAddress,Location |
|---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
Para incluir apenas eventos de endereços IP na lista de observação, você pode usar uma consulta em que watchlist é usada como variável ou está embutida.
Esta consulta de exemplo usa a watchlist como uma variável:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
Esta consulta de exemplo usa a watchlist integrada diretamente na consulta e utiliza a chave de pesquisa definida para a watchlist.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
Para obter mais informações, consulte Criar consultas e regras de detecção com watchlists no Microsoft Sentinel e os seguintes artigos na documentação do Kusto:
Para mais informações sobre o KQL, confira a visão geral da Linguagem de Consulta Kusto (KQL).
Outros recursos:
Conteúdo relacionado
Para obter mais informações, consulte: