Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Microsoft Sentinel katseluluettelot auttavat suojausanalyytikoita korreloimaan ja täydentämään tapahtumatietoja tehokkaasti. Niiden avulla voit joustavasti hallita viitetietoja, kuten suuriarvoisten resurssien luetteloita tai irtisanottuja työntekijöitä. Integroi katseluluettelot tunnistussääntöihin, uhkien metsästykseen ja vastaustyönkulkuihin, jotta voit vähentää hälytysväsymystä ja vastata uhkiin nopeammin. Tässä artikkelissa kerrotaan, miten katseluluetteloja käytetään Microsoft Sentinel, esitellään keskeiset skenaariot ja rajoitukset sekä annetaan ohjeita katseluluetteloiden luomiseen ja kyselyyn suojaustoimintojasi parantamiseksi.
Käytä katseluluetteloita haku-, havaitsemissäännöissä, uhkien metsästyksessä ja vastausten toistokirjoissa. Katseluluettelot tallennetaan Microsoft Sentinel työtilaan Watchlist taulukossa nimi-arvo-pareina. Ne on tallennettu välimuistiin optimaalisen kyselyjen suorituskyvyn ja pienen viiveen takaamista varten.
Tärkeää
Katseluluettelomallien ominaisuudet ja mahdollisuus luoda katseluluettelo tiedostosta Azure -tallennustilassa ovat tällä hetkellä ESIKATSELU-tilassa. Azure Esikatselun lisäehdot sisältävät muita oikeudellisia ehtoja, jotka koskevat Azure ominaisuuksia, jotka ovat beetaversiossa, esikatselussa tai muussa tapauksessa julkaisematta.
Milloin katseluluetteloita kannattaa käyttää?
Käytä katseluluetteloita seuraavissa tilanteissa:
Tutki uhkia ja reagoi tapauksiin nopeasti tuomalla IP-osoitteita, tiedoston hajautuksia ja muita tietoja CSV-tiedostoista. Kun olet tuonut tiedot, käytä katseluluettelon nimi-arvo-pareja ilmoitussääntöjen liitoksille ja suodattimille, uhkien metsästykselle, työkirjoille, muistikirjoille ja kyselyille.
Tuo yritystiedot katseluluettelona. Voit esimerkiksi tuoda käyttäjäluetteloita, joilla on etuoikeutettu järjestelmän käyttöoikeus, tai luetteloita irtisanotuista työntekijöistä. Luo sitten katseluluettelon avulla sallittuja luetteloita ja estoluetteloita, joiden avulla voit tunnistaa tai estää kyseisiä käyttäjiä kirjautumasta verkkoon.
Vähennä hälytysväsymystä. Luo sallittujen luetteloita, joiden avulla voidaan estää tietyn käyttäjäryhmän ilmoitukset, esimerkiksi sellaisten valtuutettujen IP-osoitteiden käyttäjien ilmoitukset, jotka suorittavat tehtäviä, jotka normaalisti käynnistäisivät ilmoituksen. Estä hyvänlaatuisten tapahtumien muuttuminen hälytyksiksi.
Täydennä tapahtumatietoja. Lisää nimi-arvoyhdistelmiä ulkoisista tietolähteistä tapahtumatietoihin katseluluetteloiden avulla.
Katseluluettelon rajoitukset
Suosittelemme tutustumaan seuraaviin rajoituksiin ennen katseluluetteloiden luomista:
| Rajoitus | Tiedot |
|---|---|
| Katseluluettelon nimi ja aliaksen pituus | Katseluluettelon nimien ja aliasten on oltava 3- 64 merkin pituisia. Ensimmäisen ja viimeisen merkin on oltava aakkosnumeerisia. välilyönnit, tavuviivat ja alaviivat sallittujen välillä. |
| Käyttötarkoitus | Käytä katseluluetteloita vain viitetiedoilla. Katseluluetteloita ei ole suunniteltu suuria tietomääriä varten. |
| Aktiivisten katseluluettelokohteiden enimmäismäärä | Työtilan kaikissa katseluluetteloissa voi olla enintään 10 miljoonaa aktiivista katseluluettelokohdetta. Poistettuja kohteita ei lasketa. Jos haluat suurempia määriä, käytä mukautettuja lokeja. |
| Tietojen säilytys | Log Analytics Watchlist -taulukon tietoja säilytetään 28 päivää. |
| Päivitysväli | Katseluluettelot päivittyvät 12 päivän välein, ja TimeGenerated kenttä päivitetään. |
| Työtilojen välinen hallinta | Katseluluetteloiden hallintaa eri työtiloissa Azure Majakan avulla ei tueta. |
| Paikallisen tiedoston latauskoko | Paikallisten tiedostojen lataaminen on rajoitettu tiedostoihin, joiden koko on enintään 3,8 Mt. |
| Azure Tallennustiedoston latauskoko (esikatselu) | Azure Tallennustilalataukset on rajoitettu enintään 500 Mt:n tiedostoihin. |
| Sarake- ja taulukkorajoitukset | Katseluluetteloiden on noudatettava KQL-entiteetin nimeämisrajoituksia sarakkeille ja nimille. |
Microsoft Sentinel katseluluettelon luontimenetelmät
Luo katseluluettelot Microsoft Sentinel jollakin seuraavista tavoista:
Tiedoston lataaminen paikallisesta kansiosta tai Azure tallennustililtäsi.
Lataa katseluluettelomalli Microsoft Sentinel, lisää tietosi ja lataa tiedosto, kun luot katseluluettelon.
Jos haluat luoda katseluluettelon suuresta tiedostosta (enintään 500 Mt), lataa tiedosto Azure tallennustiliisi. Luo SAS(Shared Access Signature) -URL-osoite, jotta Microsoft Sentinel voivat noutaa katseluluettelon tiedot. SAS:n URL-osoite sisältää sekä resurssin URI-tunnuksen että RESURSSIN SAS-tunnuksen, kuten CSV-tiedoston tallennustililläsi. Lisää katseluluettelo työtilaasi Microsoft Sentinel.
Lisätietoja on seuraavissa artikkeleissa:
- Katseluluettelojen luominen Microsoft Sentinel
- Sisäiset katseluluettelorakenteet
- Azure Tallennustilan SAS-tunnus
Hakujen ja tunnistussääntöjen katseluluettelot kyselyissä
Jos haluat korreloida katseluluettelon tiedot muihin Microsoft Sentinel tietoihin, käytä Kusto-taulukko-operaattoreita, kuten join ja lookup -taulukkoaWatchlist. Microsoft Sentinel luo seuraavat toiminnot työtilaan, jotta katseluluetteloihin voi viitata ja tehdä kyselyjä:
-
_GetWatchlistAlias- palauttaa kaikkien katseluluetteloiden tunnukset -
_GetWatchlist- kyselee määritetyn katseluluettelon nimi-arvo-pareja
Kun luot katseluluettelon, määrität SearchKey-kohteen. Hakuavain on sen katseluluettelossa olevan sarakkeen nimi, jota odotat käytettäväsi liitoksena muiden tietojen kanssa tai usein haettavana objektina. Oletetaan esimerkiksi, että sinulla on palvelimen katseluluettelo, joka sisältää maan/alueen nimet ja niiden kaksikirjaimisen maakoodin. Odotat käyttäväni maakoodeja usein hauissa tai liitoksissa. Käytät siis maakoodisaraketta hakuavaimena.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
Katsotaan muita esimerkkikyselyitä.
Oletetaan, että haluat käyttää katseluluetteloa analytiikkasäännössä. Voit luoda katseluluettelon ipwatchlist , jossa on sarakkeita ille IPAddress ja Location.
IPAddress Asetat hakuavaimeksi.
IPAddress,Location |
|---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
Jos haluat sisällyttää katseluluetteloon vain IP-osoitteiden tapahtumia, voit käyttää kyselyä, jossa watchlist sitä käytetään muuttujana tai sidottuna.
Tässä esimerkkikyselyssä katseluluetteloa käytetään muuttujana:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
Tämä esimerkkikysely käyttää katseluluetteloa sisäisesti kyselyn ja katseluluettelolle määritetyn hakuavaimen kanssa.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
Lisätietoja on Kusto-dokumentaation kohdassa Kyselyjen ja tunnistussääntöjen luominen katseluluetteloiden avulla Microsoft Sentinel ja seuraavissa artikkeleissa:
Lisätietoja KQL:stä on Kusto Query Languagen (KQL) yleiskatsauksessa.
Muut resurssit:
Aiheeseen liittyvä sisältö
Lisätietoja on seuraavissa artikkeleissa: