Listas de reproducción en Microsoft Sentinel

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Las listas de seguimiento de Microsoft Sentinel ayudan a los analistas de seguridad a correlacionar y enriquecer de forma eficaz los datos de eventos. Proporcionan una manera flexible de administrar datos de referencia, como listas de recursos de alto valor o empleados terminados. Integre listas de seguimiento en las reglas de detección, la búsqueda de amenazas y los flujos de trabajo de respuesta para reducir la fatiga de alertas y responder a las amenazas más rápido. En este artículo se explica cómo usar listas de reproducción en Microsoft Sentinel, se describen los escenarios clave y las limitaciones, y se proporcionan instrucciones sobre cómo crear y consultar listas de seguimiento para mejorar las operaciones de seguridad.

Use listas de reproducción en los cuadernos de estrategias de búsqueda, detección, búsqueda de amenazas y respuesta. Las listas de seguimiento se almacenan en el área de trabajo de Microsoft Sentinel de la Watchlist tabla como pares nombre-valor. Se almacenan en caché para un rendimiento óptimo de las consultas y una latencia baja.

Importante

Las características de las plantillas de lista de reproducción y la capacidad de crear una lista de reproducción a partir de un archivo en Azure Storage están actualmente en versión preliminar. Los términos complementarios de Azure Preview incluyen términos legales adicionales que se aplican a Azure características que están en versión beta, versión preliminar o que aún no se han publicado en disponibilidad general.

Cuándo usar listas de reproducción

Use listas de reproducción en estos escenarios:

  • Investigue las amenazas y responda a los incidentes rápidamente mediante la importación de direcciones IP, hashes de archivos y otros datos de archivos CSV. Después de importar los datos, use pares nombre-valor de lista de reproducción para combinaciones y filtros en reglas de alertas, búsqueda de amenazas, libros, cuadernos y consultas.

  • Importar datos empresariales como una lista de reproducción. Por ejemplo, importe listas de usuarios con acceso al sistema con privilegios o listas de empleados terminados. A continuación, use la lista de reproducción para crear listas de permitidos y listas de bloqueo para detectar o impedir que esos usuarios inicien sesión en la red.

  • Reducir la fatiga de alertas. Cree listas de permitidos para suprimir las alertas de un grupo de usuarios, como los usuarios de direcciones IP autorizadas que realizan tareas que normalmente desencadenarían la alerta. Evite que los eventos benignos se conviertan en alertas.

  • Enriquecer los datos de eventos. Use listas de reproducción para agregar combinaciones de nombre-valor de orígenes de datos externos a los datos del evento.

Limitaciones de la lista de reproducción

Se recomienda revisar las siguientes limitaciones antes de crear listas de reproducción:

Limitación Detalles
Nombre y longitud de alias de la lista de reproducción Los nombres y alias de la lista de reproducción deben tener entre 3 y 64 caracteres. Los caracteres primero y último deben ser alfanuméricos; espacios, guiones y caracteres de subrayado permitidos entre.
Uso previsto Use listas de reproducción solo para datos de referencia. Las listas de reproducción no están diseñadas para grandes volúmenes de datos.
Número máximo de elementos activos de la lista de reproducción Puede tener un máximo de 10 millones de elementos de lista de reproducción activos en todas las listas de reproducción de un área de trabajo. Los elementos eliminados no cuentan. Para volúmenes más grandes, use registros personalizados.
Retención de datos Los datos de la tabla lista de seguimiento de Log Analytics se conservan durante 28 días.
Intervalo de actualización Las listas de reproducción se actualizan cada 12 días y actualizan el TimeGenerated campo.
Administración entre áreas de trabajo No se admite la administración de listas de reproducción entre áreas de trabajo mediante Azure Lighthouse.
Tamaño de carga de archivo local Las cargas de archivos locales están limitadas a archivos de hasta 3,8 MB.
Azure tamaño de carga de archivos de Storage (versión preliminar) Azure las cargas de Storage están limitadas a archivos de hasta 500 MB.
Restricciones de columnas y tablas Las listas de seguimiento deben seguir las restricciones de nomenclatura de entidades de KQL para las columnas y los nombres.

Microsoft Sentinel métodos de creación de listas de reproducción

Use uno de los métodos siguientes para crear listas de reproducción en Microsoft Sentinel:

  • Cargar un archivo desde una carpeta local o desde la cuenta de almacenamiento de Azure.

  • Descargue una plantilla de lista de reproducción de Microsoft Sentinel, agregue los datos y, a continuación, cargue el archivo al crear la lista de reproducción.

Para crear una lista de reproducción a partir de un archivo grande (hasta 500 MB), cargue el archivo en la cuenta de almacenamiento de Azure. Cree una dirección URL de firma de acceso compartido (SAS) para que Microsoft Sentinel pueda recuperar los datos de la lista de reproducción. Una dirección URL de SAS incluye el URI del recurso y el token de SAS de un recurso, como un archivo CSV en la cuenta de almacenamiento. Agregue la lista de reproducción al área de trabajo en Microsoft Sentinel.

Para más información, vea:

Listas de seguimiento en consultas para búsquedas y reglas de detección

Para correlacionar los datos de la lista de reproducción con otros datos de Microsoft Sentinel, use operadores tabulares de Kusto como join y lookup con la Watchlist tabla. Microsoft Sentinel crea las siguientes funciones en el área de trabajo para ayudar a hacer referencia y consultar las listas de reproducción:

  • _GetWatchlistAlias : devuelve los alias de todas las listas de reproducción.
  • _GetWatchlist : consulta los pares nombre-valor de la lista de reproducción especificada.

Al crear una lista de reproducción, se define SearchKey. La clave de búsqueda es el nombre de una columna de la lista de reproducción que espera usar como combinación con otros datos o como un objeto frecuente de búsquedas. Por ejemplo, supongamos que tiene una lista de reproducción de servidor que contiene nombres de país o región y sus respectivos códigos de país de dos letras. Espera usar los códigos de país a menudo para búsquedas o combinaciones. Por lo tanto, use la columna de código de país como clave de búsqueda.

Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist') 
  on $left.RemoteIPCountry == $right.SearchKey

Echemos un vistazo a otras consultas de ejemplo.

Supongamos que desea usar una lista de reproducción en una regla de análisis. Cree una lista de reproducción llamada ipwatchlist con columnas para IPAddress y Location. Se establece IPAddress como SearchKey.

IPAddress,Location
10.0.100.11,Home
172.16.107.23,Work
10.0.150.39,Home
172.20.32.117,Work

Para incluir solo eventos de direcciones IP en la lista de reproducción, puede usar una consulta donde watchlist se use como variable o en línea.

En esta consulta de ejemplo se usa la lista de reproducción como variable:

  //Watchlist as a variable
  let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
  Heartbeat
  | where ComputerIP in (watchlist)

En esta consulta de ejemplo se usa la lista de reproducción insertada con la consulta y la clave de búsqueda definidas para la lista de reproducción.

  //Watchlist inline with the query
  //Use SearchKey for the best performance
  Heartbeat
  | where ComputerIP in ( 
      (_GetWatchlist('ipwatchlist')
      | project SearchKey)
  )

Para obtener más información, consulte Compilación de consultas y reglas de detección con listas de reproducción en Microsoft Sentinel y los siguientes artículos en la documentación de Kusto:

Para obtener más información sobre KQL, consulte introducción a Lenguaje de consulta Kusto (KQL).

Otros recursos:

Contenido relacionado

Para más información, vea:

  • Last updated on