Watchlists dans Microsoft Sentinel

  • S’applique à: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Les watchlists dans Microsoft Sentinel aident les analystes de sécurité à corréler et à enrichir efficacement les données d’événements. Ils vous offrent un moyen flexible de gérer les données de référence, comme des listes de ressources de grande valeur ou des employés licenciés. Intégrez des watchlists à vos règles de détection, à la chasse aux menaces et aux workflows de réponse pour réduire la fatigue des alertes et répondre plus rapidement aux menaces. Cet article explique comment utiliser des watchlists dans Microsoft Sentinel, décrit les principaux scénarios et limitations, et fournit des conseils sur la création et l’interrogation de watchlists pour améliorer vos opérations de sécurité.

Utilisez des watchlists dans vos playbooks de recherche, de détection, de repérage des menaces et de réponse. Les watchlists sont stockées dans votre espace de travail Microsoft Sentinel dans la table sous forme Watchlist de paires nom-valeur. Ils sont mis en cache pour des performances de requête optimales et une faible latence.

Importante

Les fonctionnalités des modèles watchlist et la possibilité de créer une watchlist à partir d’un fichier dans Azure Stockage sont actuellement en PRÉVERSION. Les conditions supplémentaires de la préversion Azure incluent des conditions juridiques supplémentaires qui s’appliquent à Azure fonctionnalités qui sont en version bêta, en préversion ou qui ne sont pas encore publiées en disponibilité générale.

Quand utiliser les watchlists

Utilisez des watchlists dans les scénarios suivants :

  • Examinez les menaces et répondez rapidement aux incidents en important des adresses IP, des hachages de fichiers et d’autres données à partir de fichiers CSV. Après avoir importé les données, utilisez des paires nom-valeur de watchlist pour les jointures et les filtres dans les règles d’alerte, la chasse aux menaces, les classeurs, les notebooks et les requêtes.

  • Importer des données métier en tant que watchlist. Par exemple, importez des listes d’utilisateurs avec un accès système privilégié ou des listes d’employés licenciés. Ensuite, utilisez la watchlist pour créer des listes d’autorisation et des listes de blocage afin de détecter ou d’empêcher ces utilisateurs de se connecter au réseau.

  • Réduire la fatigue des alertes. Créez des listes d’autorisation pour supprimer les alertes d’un groupe d’utilisateurs, comme les utilisateurs d’adresses IP autorisées qui effectuent des tâches qui déclenchent normalement l’alerte. Empêcher les événements bénins de devenir des alertes.

  • Enrichir les données d’événement. Utilisez des watchlists pour ajouter des combinaisons nom-valeur à partir de sources de données externes à vos données d’événement.

Limitations de la watchlist

Nous vous recommandons de passer en revue les limitations suivantes avant de créer des watchlists :

Restriction Détails
Nom de la liste de surveillance et longueur de l’alias Les noms et alias de watchlist doivent comporter entre 3 et 64 caractères. Le premier et le dernier caractères doivent être alphanumériques ; espaces, traits d’union et traits de soulignement autorisés entre.
Utilisation prévue Utilisez des watchlists uniquement pour les données de référence. Les watchlists ne sont pas conçues pour les grands volumes de données.
Nombre maximal d’éléments de watchlist actifs Vous pouvez avoir un maximum de 10 millions d’éléments de watchlist actifs sur toutes les watchlists d’un espace de travail. Les éléments supprimés ne comptent pas. Pour les volumes plus importants, utilisez des journaux personnalisés.
Rétention des données Les données de la table Watchlist Log Analytics sont conservées pendant 28 jours.
Intervalle d’actualisation Les watchlists sont actualisées tous les 12 jours, en mettant à jour le TimeGenerated champ.
Gestion inter-espaces de travail La gestion des watchlists dans les espaces de travail à l’aide de Azure Lighthouse n’est pas prise en charge.
Taille de chargement de fichier local Les chargements de fichiers locaux sont limités aux fichiers d’une taille maximale de 3,8 Mo.
Azure Taille de chargement du fichier de stockage (préversion) Azure Les chargements de stockage sont limités aux fichiers d’une taille maximale de 500 Mo.
Restrictions relatives aux colonnes et aux tables Les watchlists doivent respecter les restrictions de nommage des entités KQL pour les colonnes et les noms.

Microsoft Sentinel méthodes de création de watchlist

Utilisez l’une des méthodes suivantes pour créer des watchlists dans Microsoft Sentinel :

  • Chargement d’un fichier à partir d’un dossier local ou de votre compte de stockage Azure.

  • Téléchargez un modèle watchlist à partir de Microsoft Sentinel, ajoutez vos données, puis chargez le fichier lorsque vous créez la watchlist.

Pour créer une watchlist à partir d’un fichier volumineux (jusqu’à 500 Mo), chargez le fichier dans votre compte de stockage Azure. Créez une URL de signature d’accès partagé (SAS) afin que Microsoft Sentinel puissiez récupérer les données de watchlist. Une URL SAS inclut à la fois l’URI de ressource et le jeton SAP pour une ressource, comme un fichier CSV dans votre compte de stockage. Ajoutez la watchlist à votre espace de travail dans Microsoft Sentinel.

Pour plus d’informations, reportez-vous aux rubriques suivantes :

Watchlists dans les requêtes pour les règles de recherche et de détection

Pour mettre en corrélation vos données de watchlist avec d’autres données Microsoft Sentinel, utilisez des opérateurs tabulaires Kusto tels que join et lookup avec la Watchlist table. Microsoft Sentinel crée les fonctions suivantes dans l’espace de travail pour vous aider à référencer et interroger vos watchlists :

  • _GetWatchlistAlias - retourne les alias de toutes vos watchlists
  • _GetWatchlist - interroge les paires nom-valeur de la watchlist spécifiée

Lorsque vous créez une watchlist, vous définissez searchKey. La clé de recherche est le nom d’une colonne de votre watchlist que vous prévoyez d’utiliser comme jointure avec d’autres données ou comme objet de recherche fréquent. Par exemple, supposons que vous disposez d’une watchlist de serveur qui contient les noms de pays/régions et leurs codes de pays à deux lettres respectifs. Vous prévoyez d’utiliser souvent les codes de pays pour les recherches ou les jointures. Vous utilisez donc la colonne country code comme clé de recherche.

Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist') 
  on $left.RemoteIPCountry == $right.SearchKey

Examinons d’autres exemples de requêtes.

Supposons que vous souhaitiez utiliser une watchlist dans une règle d’analyse. Vous créez une watchlist appelée ipwatchlist avec des colonnes pour IPAddress et Location. Vous définissez IPAddress en tant que SearchKey.

IPAddress,Location
10.0.100.11,Home
172.16.107.23,Work
10.0.150.39,Home
172.20.32.117,Work

Pour inclure uniquement des événements provenant d’adresses IP dans la watchlist, vous pouvez utiliser une requête où watchlist est utilisé comme variable ou inline.

Cet exemple de requête utilise la watchlist comme variable :

  //Watchlist as a variable
  let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
  Heartbeat
  | where ComputerIP in (watchlist)

Cet exemple de requête utilise la watchlist inline avec la requête et la clé de recherche définies pour la watchlist.

  //Watchlist inline with the query
  //Use SearchKey for the best performance
  Heartbeat
  | where ComputerIP in ( 
      (_GetWatchlist('ipwatchlist')
      | project SearchKey)
  )

Pour plus d’informations, consultez Créer des requêtes et des règles de détection avec des watchlists dans Microsoft Sentinel et les articles suivants dans la documentation Kusto :

Pour plus d’informations sur KQL, consultez vue d’ensemble de Langage de requête Kusto (KQL).

Autres ressources :

Contenu connexe

Pour plus d’informations, reportez-vous aux rubriques suivantes :

  • Last updated on