Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Watchlists i Microsoft Sentinel hjelpe sikkerhetsanalytikere effektivt med å koordinere og berike hendelsesdata. De gir deg en fleksibel måte å behandle referansedata på, for eksempel lister over aktiva med høy verdi eller avsluttede ansatte. Integrer visningslister i gjenkjenningsregler, trusseljakt og responsarbeidsflyter for å redusere varslingstretthet og reagere raskere på trusler. Denne artikkelen forklarer hvordan du bruker visningslister i Microsoft Sentinel, skisserer viktige scenarioer og begrensninger, og gir veiledning om å opprette og spørre visningslister for å forbedre sikkerhetsoperasjonene dine.
Bruk visningslister i søke-, gjenkjenningsregler, trusseljakt og respons-strategibøker. Visningslister lagres i det Microsoft Sentinel arbeidsområdet i Watchlist tabellen som navneverdipar. De bufres for optimal spørringsytelse og lav ventetid.
Viktig
Funksjonene for maler for visningslister og muligheten til å opprette en visningsliste fra en fil i Azure Storage er for øyeblikket i FORHÅNDSVERSJON. Tilleggsvilkårene for Azure Preview inkluderer ytterligere juridiske vilkår som gjelder for Azure funksjoner som er i beta, forhåndsversjon eller på annen måte ikke er utgitt i generell tilgjengelighet.
Når du bør bruke visningslister
Bruk visningslister i disse scenariene:
Undersøk trusler og svar på hendelser raskt ved å importere IP-adresser, fil-hash-koder og andre data fra CSV-filer. Når du har importert dataene, kan du bruke navneverdipar for visningsliste for sammenføyninger og filtre i varslingsregler, trusseljakt, arbeidsbøker, notatblokker og spørringer.
Importer forretningsdata som en visningsliste. Du kan for eksempel importere brukerlister med privilegert systemtilgang eller lister over avsluttede ansatte. Deretter kan du bruke visningslisten til å opprette tillatelseslister og blokkeringslister for å oppdage eller hindre disse brukerne i å logge seg på nettverket.
Reduser varslingstretthet. Opprett tillatelseslister for å undertrykke varsler fra en gruppe brukere, for eksempel brukere fra autoriserte IP-adresser som utfører oppgaver som normalt ville utløst varselet. Hindre godartede hendelser fra å bli varsler.
Berike hendelsesdata. Bruk visningslister til å legge til kombinasjoner av navneverdier fra eksterne datakilder i hendelsesdataene.
Begrensninger for visningsliste
Vi anbefaler at du ser gjennom følgende begrensninger før du oppretter visningslister:
| Begrensning | Detaljer |
|---|---|
| Visningslistenavn og aliaslengde | Visningslistenavn og aliaser må være mellom 3 og 64 tegn. Første og siste tegn må være alfanumeriske. mellomrom, bindestreker og understrekingstegn er tillatt mellom. |
| Tiltenkt bruk | Bruk visningslister bare for referansedata. Visningslister er ikke utformet for store datavolumer. |
| Maksimalt antall aktive visningslisteelementer | Du kan ha maksimalt 10 millioner aktive visningslisteelementer på tvers av alle visningslister i et arbeidsområde. Slettede elementer teller ikke. Bruk egendefinerte logger for større volumer. |
| Dataoppbevaring | Data i watchlist-tabellen for log analytics beholdes i 28 dager. |
| Oppdateringsintervall | Visningslister oppdateres hver 12. dag og oppdaterer TimeGenerated feltet. |
| Administrasjon på tvers av arbeidsområder | Administrasjon av visningslister på tvers av arbeidsområder ved hjelp av Azure Lighthouse støttes ikke. |
| Størrelse på lokal filopplasting | Lokale filopplastinger er begrenset til filer på opptil 3,8 MB. |
| Azure filopplastingsstørrelse (forhåndsversjon) | Azure lagringsopplastinger er begrenset til filer på opptil 500 MB. |
| Kolonne- og tabellbegrensninger | Visningslister må følge begrensninger for navngivning av KQL-enheter for kolonner og navn. |
opprettingsmetoder for Microsoft Sentinel-visningsliste
Bruk én av følgende metoder for å opprette visningslister i Microsoft Sentinel:
Laster opp en fil fra en lokal mappe eller fra Azure Storage-kontoen.
Last ned en visningslistemal fra Microsoft Sentinel, legg til dataene, og last deretter opp filen når du oppretter visningslisten.
Hvis du vil opprette en visningsliste fra en stor fil (opptil 500 MB), laster du opp filen til Azure Storage-kontoen. Opprett en URL-adresse for delt tilgangssignatur (SAS), slik at Microsoft Sentinel kan hente data fra visningslisten. En SAS-nettadresse inkluderer både ressurs-URI-en og SAS-tokenet for en ressurs, for eksempel en CSV-fil i lagringskontoen. Legg til visningslisten i arbeidsområdet i Microsoft Sentinel.
Hvis du vil ha mer informasjon, kan du se:
- Opprette visningslister i Microsoft Sentinel
- Innebygde visningslisteskjemaer
- SAS-token for Azure Storage
Visningslister i spørringer for søk og gjenkjenningsregler
Hvis du vil koordinere visningslistedataene med andre Microsoft Sentinel data, kan du bruke Kusto-tabelloperatorer, for eksempel join og lookup med Watchlist tabellen. Microsoft Sentinel oppretter følgende funksjoner i arbeidsområdet for å hjelpe med å referere til og spørre visningslistene:
-
_GetWatchlistAlias– returnerer aliasene for alle visningslistene -
_GetWatchlist– spør etter navneverdiparene for den angitte visningslisten
Når du oppretter en visningsliste, definerer du SearchKey. Søkenøkkelen er navnet på en kolonne i visningslisten som du forventer å bruke som sammenføyning med andre data eller som et hyppig objekt for søk. Anta for eksempel at du har en server-visningsliste som inneholder navn på land/område og deres respektive landskoder på to bokstaver. Du forventer å bruke landskodene ofte for søk eller sammenføyninger. Så du bruker landskodekolonnen som søkenøkkel.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
La oss se på noen andre eksempelspørringer.
La oss si at du vil bruke en visningsliste i en analyseregel. Du oppretter en visningsliste kalt ipwatchlist med kolonner for IPAddress og Location. Du angir IPAddress som SearchKey.
IPAddress,Location |
|---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
Hvis du bare vil inkludere hendelser fra IP-adresser i visningslisten, kan du bruke en spørring der watchlist den brukes som en variabel eller innebygd.
Denne eksempelspørringen bruker visningslisten som en variabel:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
Denne eksempelspørringen bruker visningslisten linjebundet med spørringen og søkenøkkelen som er definert for visningslisten.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
Hvis du vil ha mer informasjon, kan du se Bygge spørringer og gjenkjenningsregler med visningslister i Microsoft Sentinel og følgende artikler i Kusto-dokumentasjonen:
Hvis du vil ha mer informasjon om KQL, kan du se Oversikt over Kusto-spørringsspråk (KQL).
Andre ressurser:
Beslektet innhold
Hvis du vil ha mer informasjon, kan du se: