Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Correlacione os dados da sua lista de observação com quaisquer dados do Microsoft Sentinel com operadores tabulares do Kusto, como join e lookup. Ao criar uma lista de observação, você define a SearchKey. A chave de pesquisa é o nome de uma coluna na sua lista de observação que você espera usar como uma junção com outros dados ou como um objeto frequente de pesquisas.
Para um desempenho de consulta ideal, use SearchKey como a chave para junções em suas consultas.
Importante
O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão o Microsoft Sentinel somente no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que comece a planejar sua transição para o portal do Defender para garantir uma transição suave e aproveitar ao máximo a experiência unificada de operações de segurança oferecida pelo Microsoft Defender. Para obter mais informações, consulte É hora de mover: desativando o portal do Azure do Microsoft Sentinel para maior segurança.
Crie consultas com listas de observação
Para usar uma lista de observação na consulta de pesquisa, escreva uma consulta Kusto que use a função _GetWatchlist('watchlist-name') e use SearchKey como a chave para sua associação.
Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuration>Watchlist. Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Lista de observação.
Selecione a lista de observação que deseja usar.
Selecione Exibir em Logs.
Reveja o separador Resultados. Os itens da sua lista de observação são extraídos automaticamente para a sua consulta.
O exemplo abaixo mostra os resultados da extração dos campos Nome e Endereço IP . A SearchKey é mostrada como uma coluna própria.
O carimbo de data/hora em suas consultas será ignorado na interface do usuário da consulta e nos alertas agendados.
Escreva uma consulta que use a função _GetWatchlist('watchlist-name') e use SearchKey como a chave para sua associação.
Por exemplo, a consulta de exemplo a seguir une a
RemoteIPCountrycoluna naHeartbeattabela com a chave de pesquisa definida para a lista de observação chamadamywatchlist.Heartbeat | lookup kind=leftouter _GetWatchlist('mywatchlist') on $left.RemoteIPCountry == $right.SearchKeyA imagem a seguir mostra os resultados dessa consulta de exemplo no Log Analytics.
Criar uma regra de análise com uma lista de observação
Para usar listas de observação em regras de análise, crie uma regra usando a função _GetWatchlist('watchlist-name') na consulta.
Em Configuração, selecione Análise.
Selecione Criar e o tipo de regra que deseja criar.
Na guia Geral , insira as informações apropriadas.
Na guia Definir lógica da regra, em Consulta regra, use a
_GetWatchlist('<watchlist>')função na consulta.Por exemplo, digamos que você tenha uma lista de observação nomeada
ipwatchlistque você criou a partir de um arquivo CSV com os seguintes valores:IPAddress,Location10.0.100.11,Home172.16.107.23,Work10.0.150.39,Home172.20.32.117,WorkO arquivo CSV se parece com a imagem a seguir.
Para usar a
_GetWatchlistfunção para este exemplo, sua consulta seria_GetWatchlist('ipwatchlist').
Neste exemplo, incluímos apenas eventos de endereços IP na lista de observação:
//Watchlist as a variable let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress); Heartbeat | where ComputerIP in (watchlist)A consulta de exemplo a seguir usa a lista de observação em linha com a consulta e a chave de pesquisa definida para a lista de observação.
//Watchlist inline with the query //Use SearchKey for the best performance Heartbeat | where ComputerIP in ( (_GetWatchlist('ipwatchlist') | project SearchKey) )A imagem a seguir mostra essa última consulta usada na consulta de regra.
Preencha o resto das abas no assistente de regras de análise.
As listas de observação são atualizadas no seu espaço de trabalho a cada 12 dias, atualizando o TimeGenerated campo. Para obter mais informações, consulte Criar regras de análise personalizadas para detetar ameaças.
Ver lista de aliases da lista de observação
Talvez seja necessário ver uma lista de aliases de lista de observação para identificar uma lista de observação a ser usada em uma regra de consulta ou análise.
Para Microsoft Sentinel no portal do Azure, em Geral, selecione Logs.
No portal do Defender, selecione Investigação e resposta>Caça>avançada.Na página Nova Consulta , execute a seguinte consulta:
_GetWatchlistAlias.Verifique a lista de nomes alternativos no separador Resultados.
Veja mais informações sobre os seguintes itens usados nos exemplos anteriores, na documentação do Kusto:
Para obter mais informações sobre o KQL, consulte Visão geral da Kusto Query Language (KQL).
Outros recursos:
Conteúdos relacionados
Neste documento, você aprendeu como usar listas de observação no Microsoft Sentinel para enriquecer dados e melhorar as investigações. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:
- Criar listas de observação
- Saiba como obter visibilidade dos seus dados e potenciais ameaças.
- Comece a detetar ameaças com o Microsoft Sentinel.
- Use pastas de trabalho para monitorar seus dados.