Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Visningslister i Microsoft Sentinel hjælpe sikkerhedsanalytikere med effektivt at korrelere og forbedre hændelsesdata. De giver dig en fleksibel måde at administrere referencedata på, f.eks. lister over aktiver af høj værdi eller afskedigede medarbejdere. Integrer watchlists i dine regler for registrering, trusselsjagt og svararbejdsprocesser for at reducere advarselstræthed og reagere hurtigere på trusler. I denne artikel forklares det, hvordan du bruger visningslister i Microsoft Sentinel, beskriver vigtige scenarier og begrænsninger og giver vejledning i, hvordan du opretter og forespørger på visningslister for at forbedre dine sikkerhedshandlinger.
Brug visningslister i dine søge-, registreringsregler, trusselsjagt og svarlegebøger. Visningslister gemmes i dit Microsoft Sentinel arbejdsområde i tabellen Watchlist som navneværdipar. De cachelagres for at opnå optimal forespørgselsydeevne og lav ventetid.
Vigtigt!
Funktionerne til visningslisteskabeloner og muligheden for at oprette en visningsliste ud fra en fil i Azure Storage findes i øjeblikket i PRØVEVERSION. De supplerende vilkår for Azure prøveversion indeholder yderligere juridiske vilkår, der gælder for Azure funktioner, der er i beta, prøveversion eller på anden måde endnu ikke er offentligt tilgængelige.
Hvornår skal du bruge visningslister?
Brug visningslister i disse scenarier:
Undersøg trusler og reagere hurtigt på hændelser ved at importere IP-adresser, filhash og andre data fra CSV-filer. Når du har importeret dataene, kan du bruge navneværdipar på visningslisten til joinforbindelser og filtre i regler for beskeder, trusselsjagt, projektmapper, notesbøger og forespørgsler.
Importér forretningsdata som en visningsliste. Importér f.eks. brugerlister med privilegeret systemadgang eller lister over afskedigede medarbejdere. Brug derefter visningslisten til at oprette allowlists og blocklists for at registrere eller forhindre disse brugere i at logge på netværket.
Reducer advarselstræthed. Opret allowlists for at undertrykke beskeder fra en gruppe af brugere, f.eks. brugere fra godkendte IP-adresser, der udfører opgaver, der normalt udløser beskeden. Undgå, at godartede hændelser bliver vigtige beskeder.
Enrich hændelsesdata. Brug visningslister til at føje kombinationer af navneværdier fra eksterne datakilder til dine hændelsesdata.
Begrænsninger for visningsliste
Vi anbefaler, at du gennemgår følgende begrænsninger, før du opretter visningslister:
| Begrænsning | Detaljer |
|---|---|
| Visningslistenavn og aliaslængde | Visningslistenavne og aliasser skal være mellem 3 og 64 tegn. Første og sidste tegn skal være alfanumeriske. mellemrum, bindestreger og understregningstegn tilladt mellem. |
| Tiltænkt brug | Brug kun visningslister til referencedata. Visningslister er ikke designet til store datamængder. |
| Maksimalt antal aktive elementer på visningslisten | Du kan maksimalt have 10 millioner aktive visningslisteelementer på tværs af alle visningslister i et arbejdsområde. Slettede elementer tæller ikke. Brug brugerdefinerede logge til større diskenheder. |
| Datalagring | Dataene i tabellen Log Analytics Watchlist bevares i 28 dage. |
| Opdateringsinterval | Visningslister opdateres hver 12. dag og opdaterer feltet TimeGenerated . |
| Administration på tværs af arbejdsområder | Administration af visningslister på tværs af arbejdsområder ved hjælp af Azure Lighthouse understøttes ikke. |
| Overførselsstørrelse for lokal fil | Overførsler af lokale filer er begrænset til filer på op til 3,8 MB. |
| Azure Størrelse på overførsel af lagerfil (prøveversion) | Azure Lageroverførsler er begrænset til filer på op til 500 MB. |
| Kolonne- og tabelbegrænsninger | Visningslister skal følge begrænsningerne for navngivning af KQL-enheder for kolonner og navne. |
Microsoft Sentinel metoder til oprettelse af visningslister
Brug en af følgende metoder til at oprette visningslister i Microsoft Sentinel:
Overførsel af en fil fra en lokal mappe eller fra din Azure Storage-konto.
Download en visningslisteskabelon fra Microsoft Sentinel, tilføj dine data, og upload derefter filen, når du opretter visningslisten.
Hvis du vil oprette en visningsliste fra en stor fil (op til 500 MB), skal du uploade filen til din Azure Storage-konto. Opret en URL-adresse til en SAS (delt adgangssignatur), så Microsoft Sentinel kan hente visningslistens data. En SAS-URL-adresse indeholder både ressource-URI'en og SAS-tokenet for en ressource, f.eks. en CSV-fil på din lagerkonto. Føj visningslisten til dit arbejdsområde i Microsoft Sentinel.
Du kan finde flere oplysninger under:
- Opret visningslister i Microsoft Sentinel
- Indbyggede skemaer for visningslister
- SAS-token til Azure storage
Visningslister i forespørgsler for søgninger og registreringsregler
Hvis du vil korrelere dine visningslistedata med andre Microsoft Sentinel data, skal du bruge Kusto-tabeloperatorer, f.eksjoin. og lookup med tabellenWatchlist. Microsoft Sentinel opretter følgende funktioner i arbejdsområdet for at hjælpe med at henvise til og forespørge på dine visningslister:
-
_GetWatchlistAlias– returnerer aliasserne for alle dine visningslister -
_GetWatchlist– forespørger på navneværdipar for den angivne visningsliste
Når du opretter en visningsliste, definerer du SearchKey. Søgenøglen er navnet på en kolonne på din visningsliste, som du forventer at bruge som joinforbindelse til andre data eller som et hyppigt objekt for søgninger. Antag f.eks., at du har en serverovervågningsliste, der indeholder lande-/områdenavne og deres respektive landekoder på to bogstaver. Du forventer at bruge landekoderne ofte til søgninger eller joinforbindelser. Så du bruger kolonnen med landekoden som søgenøgle.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
Lad os se på nogle andre eksempelforespørgsler.
Lad os antage, at du vil bruge en visningsliste i en analyseregel. Du opretter en visningsliste, der kaldes ipwatchlist med kolonner for IPAddress og Location. Du angiver IPAddress som SearchKey.
IPAddress,Location |
|---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
Hvis du kun vil medtage hændelser fra IP-adresser på visningslisten, kan du bruge en forespørgsel, hvor watchlist bruges som en variabel eller indbygget.
I dette eksempel bruges visningslisten som en variabel:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
I dette eksempel bruges den visningsliste, der er indbygget i forespørgslen, og den søgenøgle, der er defineret for visningslisten.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
Du kan få flere oplysninger i Opret regler for forespørgsler og registrering med visningslister i Microsoft Sentinel og følgende artikler i dokumentationen til Kusto:
Du kan få flere oplysninger om KQL i oversigten over Kusto Query Language (KQL).
Andre ressourcer:
Relateret indhold
Du kan finde flere oplysninger under: