Créer des requêtes ou des règles de détection avec des watchlists dans Microsoft Sentinel

S’applique à: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Mettez en corrélation vos données de watchlist par rapport à toutes les données Microsoft Sentinel avec des opérateurs tabulaires Kusto tels que join et lookup. Lorsque vous créez une watchlist, vous définissez searchKey. La clé de recherche est le nom d’une colonne de votre watchlist que vous prévoyez d’utiliser comme jointure avec d’autres données ou comme objet de recherche fréquent.

Pour des performances de requête optimales, utilisez SearchKey comme clé pour les jointures dans vos requêtes.

Importante

Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement.

Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender.

Créer des requêtes avec des watchlists

Pour utiliser une watchlist dans la requête de recherche, écrivez une requête Kusto qui utilise la fonction _GetWatchlist('watchlist-name') et utilise SearchKey comme clé pour votre jointure.

Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Configuration>Watchlist. Pour Microsoft Sentinel dans le Portail Azure, sous Configuration, sélectionnez Watchlist.
Sélectionnez la watchlist que vous souhaitez utiliser.
Sélectionnez Afficher dans les journaux.
Passez en revue l’onglet Résultats . Les éléments de votre watchlist sont automatiquement extraits pour votre requête.

L’exemple ci-dessous montre les résultats de l’extraction des champs Nom et Adresse IP . La colonne SearchKey s’affiche sous la forme de sa propre colonne.

L’horodatage de vos requêtes sera ignoré à la fois dans l’interface utilisateur de la requête et dans les alertes planifiées.
Écrivez une requête qui utilise la fonction _GetWatchlist('watchlist-name') et qui utilise SearchKey comme clé pour votre jointure.

Par exemple, l’exemple de requête suivant joint la RemoteIPCountry colonne de la Heartbeat table avec la clé de recherche définie pour la watchlist nommée mywatchlist.
```
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist') 
 on $left.RemoteIPCountry == $right.SearchKey
```
L’image suivante montre les résultats de cet exemple de requête dans Log Analytics.

Créer une règle d’analyse avec une watchlist

Pour utiliser des watchlists dans les règles d’analyse, créez une règle à l’aide de la fonction _GetWatchlist('watchlist-name') dans la requête.

Sous Configuration, sélectionnez Analytique.
Sélectionnez Créer et le type de règle que vous souhaitez créer.
Sous l’onglet Général , entrez les informations appropriées.
Sous l’onglet Définir la logique de règle , sous Requête de règle , utilisez la _GetWatchlist('<watchlist>') fonction dans la requête.

Par exemple, supposons que vous ayez une watchlist nommée ipwatchlist que vous avez créée à partir d’un fichier CSV avec les valeurs suivantes :

IPAddress,Location

10.0.100.11,Home

172.16.107.23,Work

10.0.150.39,Home

172.20.32.117,Work

Le fichier CSV ressemble à l’image suivante.

Pour utiliser la _GetWatchlist fonction pour cet exemple, votre requête serait _GetWatchlist('ipwatchlist').

Dans cet exemple, nous incluons uniquement les événements provenant d’adresses IP dans la watchlist :
```
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
```
L’exemple de requête suivant utilise la watchlist inline avec la requête et la clé de recherche définies pour la watchlist.
```
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in ( 
    (_GetWatchlist('ipwatchlist')
    | project SearchKey)
)
```
L’image suivante montre cette dernière requête utilisée dans la requête de règle.
Complétez les autres onglets de l’Assistant Règle d’analyse.

`IPAddress,Location`
`10.0.100.11,Home`
`172.16.107.23,Work`
`10.0.150.39,Home`
`172.20.32.117,Work`

Les watchlists sont actualisées dans votre espace de travail tous les 12 jours, ce qui met à jour le TimeGenerated champ. Pour plus d’informations, consultez Créer des règles d’analyse personnalisées pour détecter les menaces.

Afficher la liste des alias de watchlist

Vous devrez peut-être voir une liste d’alias de watchlist pour identifier une watchlist à utiliser dans une règle de requête ou d’analyse.

Pour Microsoft Sentinel dans le Portail Azure, sous Général, sélectionnez Journaux.
Dans le portail Defender, sélectionnez Investigation & réponse>Chasse>avancée chasse.
Dans la page Nouvelle requête , exécutez la requête suivante : _GetWatchlistAlias.
Passez en revue la liste des alias sous l’onglet Résultats .

Pour plus d’informations sur les éléments suivants utilisés dans les exemples précédents, consultez la documentation Kusto :

Pour plus d’informations sur KQL, consultez vue d’ensemble de Langage de requête Kusto (KQL).

Autres ressources :

Dans ce document, vous avez appris à utiliser des watchlists dans Microsoft Sentinel pour enrichir les données et améliorer les investigations. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :

Créer des watchlists
Découvrez comment obtenir une visibilité sur vos données et les menaces potentielles.
Commencez à détecter les menaces avec Microsoft Sentinel.
Utilisez des classeurs pour surveiller vos données.

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2026-04-23