Compartilhar via

Criar consultas ou regras de detecção com watchlists no Microsoft Sentinel

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Correlacionar os dados da watchlist com todos os dados do Microsoft Sentinel com operadores de tabela Kusto, como join e lookup. Ao criar uma watchlist, você define a SearchKey. O termo de pesquisa é o nome de uma coluna em sua watchlist que você espera usar como uma junção com outros dados ou como um objeto frequente de pesquisas.

Para obter um desempenho ideal de consulta, use o SearchKey como a chave para junções em suas consultas.

Importante

O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.

A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão apenas o Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.

Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte É Hora de Mudar: Aposentando o portal Azure do Microsoft Sentinel para obter maior segurança.

Criar consultas com watchlists

Para usar uma watchlist na consulta de pesquisa, escreva uma consulta Kusto que usa a função _GetWatchlist('nome-da-watchlist') e usa SearchKey como a chave para sua junção.

  1. Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuração>Watchlist. Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Watchlist.

  2. Selecione a watchlist que você deseja usar.

  3. Selecione Exibir nos logs.

    Captura de tela que mostra como usar listas de observação nas consultas.

  4. Examine a guia Resultados. Os itens em sua watchlist são extraídos automaticamente para sua consulta.

    O exemplo a seguir mostra os resultados da extração dos campos Nome e Endereço IP. A SearchKey é mostrada como sua própria coluna.

    Captura de tela que mostra consultas com os campos da lista de observação.

    O carimbo de data/hora nas consultas será ignorado tanto na interface do usuário da consulta como nos alertas agendados.

  5. Escreva uma consulta que usa a função _GetWatchlist('nome-da-watchlist) e usa SearchKey como a chave para sua junção.

    Por exemplo, a consulta de exemplo a seguir une a coluna RemoteIPCountry na tabela Heartbeat, com o termo de pesquisa definido para a watchlist chamada mywatchlist.

    Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist') 
 on $left.RemoteIPCountry == $right.SearchKey

    A imagem a seguir mostra os resultados dessa consulta de exemplo no Log Analytics.

    Captura de tela das consultas na lista de observação como pesquisa.

Criar uma regra de análise com uma watchlist

Para usar watchlists em regras de análise, crie uma regra usando a função _GetWatchlist('nome-da-watchlist') na consulta.

  1. Em Configuração, selecione Análise.

  2. Selecione Criar e o tipo de regra que você deseja criar.

  3. Na guia Geral, insira as informações adequadas.

  4. Na guia Definir lógica de regra, em Consulta de regra, use a função _GetWatchlist('<watchlist>') na consulta.

    Por exemplo, digamos que você tenha uma watchlist chamada ipwatchlist criada de um arquivo CSV com os seguintes valores:

    IPAddress,Location
    10.0.100.11,Home
    172.16.107.23,Work
    10.0.150.39,Home
    172.20.32.117,Work

    O arquivo CSV se parece com a imagem a seguir. Captura de tela de quatro itens em um arquivo CSV usado na lista de observação.

    Para usar a função _GetWatchlist para este exemplo, sua consulta seria _GetWatchlist('ipwatchlist').

    Captura de tela que mostra que a consulta retorna os quatro itens da lista de observação.

    Neste exemplo, incluímos apenas eventos de endereços IP na watchlist:

    //Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)

    A consulta de exemplo a seguir usa a watchlist embutida com a consulta e o termo de pesquisa definidos para a watchlist.

    //Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in ( 
    (_GetWatchlist('ipwatchlist')
    | project SearchKey)
)

    A imagem a seguir mostra essa última consulta usada na consulta de regra.

    Captura de tela que mostra como usar listas de observação nas regras de análise.

  5. Conclua o restante das guias no Assistente de regra de análise.

As watchlists são atualizadas em seu workspace a cada 12 dias, atualizando o campo TimeGenerated. Para saber mais, confira Criar regras de análise personalizadas para detectar ameaças.

Exibir a lista de aliases de watchlists

Talvez seja necessário ver uma lista de aliases de watchlists para identificar uma watchlist a ser usada em uma regra de análise ou consulta.

  1. Para o Microsoft Sentinel noportal do Azure, em Geral , selecioneLogs .
    No portal do Defender, selecione Investigação e resposta>Busca>Busca avançada.

  2. Na página Nova Consulta, execute a seguinte consulta: _GetWatchlistAlias.

  3. Examine a lista de aliases na guia Resultados.

    Captura de tela que mostra uma lista da lista de observação.

Consulte mais informações sobre os seguintes itens usados nos exemplos anteriores, na documentação do Kusto:

Para mais informações sobre o KQL, confira a visão geral da Linguagem de Consulta Kusto (KQL).

Outros recursos:

Conteúdo relacionado

Neste documento, você aprendeu a usar watchlists no Microsoft Sentinel para enriquecer dados e aprimorar investigações. Para saber mais sobre o Microsoft Sentinel, confira os seguintes artigos:

  • Last updated on