Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Gli watchlist in Microsoft Sentinel aiutano gli analisti della sicurezza a correlare e arricchire in modo efficiente i dati degli eventi. Offrono un modo flessibile per gestire i dati di riferimento, ad esempio elenchi di asset di alto valore o dipendenti terminati. Integrare watchlist nelle regole di rilevamento, nella ricerca delle minacce e nei flussi di lavoro di risposta per ridurre l'affaticamento degli avvisi e rispondere più rapidamente alle minacce. Questo articolo illustra come usare gli elenchi di controllo in Microsoft Sentinel, descrive gli scenari e le limitazioni principali e fornisce indicazioni sulla creazione e l'esecuzione di query sugli elenchi di controllo per migliorare le operazioni di sicurezza.
Usare gli elenchi di controllo nei playbook di ricerca, regole di rilevamento, ricerca delle minacce e risposta. Gli elenchi di controllo vengono archiviati nell'area di lavoro Microsoft Sentinel nella Watchlist tabella come coppie nome-valore. Vengono memorizzati nella cache per prestazioni ottimali delle query e bassa latenza.
Importante
Le funzionalità per i modelli watchlist e la possibilità di creare una watchlist da un file in Azure Storage sono attualmente disponibili in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima Azure includono termini legali aggiuntivi che si applicano alle funzionalità Azure in versione beta, in anteprima o in altro modo non ancora rilasciate nella disponibilità generale.
Quando usare watchlist
Usare gli elenchi di controllo in questi scenari:
Analizzare le minacce e rispondere rapidamente agli eventi imprevisti importando indirizzi IP, hash di file e altri dati da file CSV. Dopo aver importato i dati, usare le coppie nome-valore watchlist per join e filtri nelle regole di avviso, nella ricerca delle minacce, nelle cartelle di lavoro, nei notebook e nelle query.
Importare i dati aziendali come watchlist. Ad esempio, importare elenchi di utenti con accesso di sistema con privilegi o elenchi di dipendenti terminati. Usare quindi l'elenco di controllo per creare elenchi consentiti e blocklist per rilevare o impedire a tali utenti di accedere alla rete.
Ridurre l'affaticamento degli avvisi. Creare elenchi consentiti per eliminare gli avvisi da un gruppo di utenti, ad esempio gli utenti di indirizzi IP autorizzati che eseguono attività che normalmente attivano l'avviso. Impedire che gli eventi non dannosi diventino avvisi.
Arricchire i dati degli eventi. Usare gli elenchi di controllo per aggiungere combinazioni nome-valore da origini dati esterne ai dati dell'evento.
Limitazioni dell'elenco di controllo
Prima di creare elenchi di controllo, è consigliabile esaminare le limitazioni seguenti:
| Limitazione | Dettagli |
|---|---|
| Nome watchlist e lunghezza alias | I nomi e gli alias dell'elenco di controllo devono essere compresi tra 3 e 64 caratteri. Il primo e l'ultimo carattere devono essere alfanumerici; spazi, trattini e caratteri di sottolineatura consentiti tra. |
| Uso previsto | Usare gli elenchi di controllo solo per i dati di riferimento. Gli elenchi di controllo non sono progettati per volumi di dati di grandi dimensioni. |
| Numero massimo di elementi watchlist attivi | È possibile avere un massimo di 10 milioni di elementi watchlist attivi in tutte le watchlist in un'area di lavoro. Gli elementi eliminati non vengono conteggiati. Per volumi di dimensioni maggiori, usare i log personalizzati. |
| Conservazione dei dati | I dati nella tabella Log Analytics Watchlist vengono conservati per 28 giorni. |
| Intervallo di aggiornamento | Gli elenchi di controllo vengono aggiornati ogni 12 giorni, aggiornando il TimeGenerated campo. |
| Gestione tra aree di lavoro | La gestione degli elenchi di controllo nelle aree di lavoro con Azure Lighthouse non è supportata. |
| Dimensioni di caricamento dei file locali | I caricamenti di file locali sono limitati a file fino a 3,8 MB. |
| Azure Dimensioni di caricamento file di archiviazione (anteprima) | Azure i caricamenti di archiviazione sono limitati a file fino a 500 MB. |
| Restrizioni relative a colonne e tabelle | Gli elenchi di controllo devono seguire le restrizioni di denominazione delle entità KQL per colonne e nomi. |
Microsoft Sentinel metodi di creazione dell'elenco di controllo
Usare uno dei metodi seguenti per creare elenchi di controllo in Microsoft Sentinel:
Caricamento di un file da una cartella locale o dall'account di archiviazione Azure.
Scaricare un modello watchlist da Microsoft Sentinel, aggiungere i dati e quindi caricare il file quando si crea l'elenco di controllo.
Per creare una watchlist da un file di grandi dimensioni (fino a 500 MB), caricare il file nell'account di archiviazione Azure. Creare un URL di firma di accesso condiviso (SAS) in modo che Microsoft Sentinel possa recuperare i dati dell'elenco di controllo. Un URL di firma di accesso condiviso include sia l'URI della risorsa che il token di firma di accesso condiviso per una risorsa, ad esempio un file CSV nell'account di archiviazione. Aggiungere l'elenco di controllo all'area di lavoro in Microsoft Sentinel.
Per altre informazioni, vedere:
- Creare elenchi di controllo in Microsoft Sentinel
- Schemi watchlist predefiniti
- token sas di archiviazione Azure
Watchlist nelle query per le ricerche e le regole di rilevamento
Per correlare i dati dell'elenco di controllo con altri dati Microsoft Sentinel, usare gli operatori tabulari Kusto, ad join esempio e lookup con la Watchlist tabella . Microsoft Sentinel crea le funzioni seguenti nell'area di lavoro per fare riferimento ed eseguire query sulle watchlist:
-
_GetWatchlistAlias- restituisce gli alias di tutte le watchlist -
_GetWatchlist- esegue una query sulle coppie nome-valore dell'elenco di controllo specificato
Quando si crea un elenco di controllo, si definisce SearchKey. La chiave di ricerca è il nome di una colonna nell'elenco di controllo che si prevede di usare come join con altri dati o come oggetto frequente delle ricerche. Si supponga, ad esempio, di avere un elenco di controllo server che contiene i nomi dei paesi e dei rispettivi codici paese a due lettere. Si prevede di usare spesso i codici paese per le ricerche o i join. Si usa quindi la colonna del codice paese come chiave di ricerca.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
Verranno ora esaminate altre query di esempio.
Si supponga di voler usare una watchlist in una regola di analisi. Si crea un watchlist denominato ipwatchlist con colonne per IPAddress e Location. Si imposta IPAddress come SearchKey.
IPAddress,Location |
|---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
Per includere solo gli eventi degli indirizzi IP nell'elenco di controllo, è possibile usare una query in cui watchlist viene usata come variabile o inline.
Questa query di esempio usa l'elenco di controllo come variabile:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
Questa query di esempio usa l'elenco di controllo inline con la query e la chiave di ricerca definita per l'elenco di controllo.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
Per altre informazioni, vedere Compilare query e regole di rilevamento con watchlist in Microsoft Sentinel e gli articoli seguenti nella documentazione di Kusto:
Per altre informazioni su KQL, vedere panoramica di Linguaggio di query Kusto (KQL).
Altre risorse:
Contenuto correlato
Per altre informazioni, vedere: