Query's of detectieregels maken met volglijsten in Microsoft Sentinel

  • Van toepassing op: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Correleer uw volglijstgegevens met Microsoft Sentinel gegevens met Kusto-tabelvormige operatoren, zoals join en lookup. Wanneer u een volglijst maakt, definieert u de Zoeksleutel. De zoeksleutel is de naam van een kolom in uw volglijst die u verwacht te gebruiken als join met andere gegevens of als een frequent zoekobject.

Voor optimale queryprestaties gebruikt u SearchKey als sleutel voor joins in uw query's.

Belangrijk

Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal.

Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden.

Query's bouwen met volglijsten

Als u een volglijst wilt gebruiken in een zoekquery, schrijft u een Kusto-query die gebruikmaakt van de functie _GetWatchlist('watchlist-name') en SearchKey gebruikt als de sleutel voor uw join.

  1. Selecteer Microsoft Sentinel Configuratie>volglijst voor Microsoft Sentinel> in de Defender-portal. Voor Microsoft Sentinel in de Azure Portal selecteert u onder Configuratiede optie Volglijst.

  2. Selecteer de volglijst die u wilt gebruiken.

  3. Selecteer Weergeven in logboeken.

    Schermopname van het gebruik van volglijsten in query's.

  4. Bekijk het tabblad Resultaten . De items in uw volglijst worden automatisch uitgepakt voor uw query.

    In het onderstaande voorbeeld ziet u de resultaten van de extractie van de velden Naam en IP-adres . De SearchKey wordt weergegeven als een eigen kolom.

    Schermopname van query's met volglijstvelden.

    De tijdstempel voor uw query's wordt genegeerd in zowel de gebruikersinterface van de query als in geplande waarschuwingen.

  5. Schrijf een query die gebruikmaakt van de functie _GetWatchlist('watchlist-name') en searchkey gebruikt als de sleutel voor uw join.

    De volgende voorbeeldquery wordt bijvoorbeeld toegevoegd aan de RemoteIPCountry kolom in de Heartbeat tabel met de zoeksleutel die is gedefinieerd voor de volglijst met de naam mywatchlist.

    Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist') 
 on $left.RemoteIPCountry == $right.SearchKey

    In de volgende afbeelding ziet u de resultaten van deze voorbeeldquery in Log Analytics.

    Schermopname van query's op de volglijst als opzoekactie.

Een analyseregel maken met een volglijst

Als u volglijsten wilt gebruiken in analyseregels, maakt u een regel met behulp van de functie _GetWatchlist('watchlist-name') in de query.

  1. Selecteer onder Configuratiede optie Analyse.

  2. Selecteer Maken en het type regel dat u wilt maken.

  3. Voer op het tabblad Algemeen de juiste gegevens in.

  4. Gebruik op het tabblad Regellogica instellen onder Regelquery de _GetWatchlist('<watchlist>') functie in de query.

    Stel dat u een volglijst hebt met de naam ipwatchlist die u hebt gemaakt op basis van een CSV-bestand met de volgende waarden:

    IPAddress,Location
    10.0.100.11,Home
    172.16.107.23,Work
    10.0.150.39,Home
    172.20.32.117,Work

    Het CSV-bestand lijkt ongeveer op de volgende afbeelding. Schermopname van vier items in een CSV-bestand dat wordt gebruikt voor de volglijst.

    Als u de _GetWatchlist functie voor dit voorbeeld wilt gebruiken, is _GetWatchlist('ipwatchlist')uw query .

    Schermopname waarin de query de vier items uit de volglijst retourneert.

    In dit voorbeeld nemen we alleen gebeurtenissen van IP-adressen op in de volglijst:

    //Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)

    In de volgende voorbeeldquery wordt de volglijst inline gebruikt met de query en de zoeksleutel die is gedefinieerd voor de volglijst.

    //Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in ( 
    (_GetWatchlist('ipwatchlist')
    | project SearchKey)
)

    In de volgende afbeelding ziet u deze laatste query die in de regelquery is gebruikt.

    Schermopname van het gebruik van volglijsten in analyseregels.

  5. Voltooi de rest van de tabbladen in de wizard Analyseregel.

Volglijsten worden elke 12 dagen vernieuwd in uw werkruimte, waarbij het TimeGenerated veld wordt bijgewerkt. Zie Aangepaste analyseregels maken om bedreigingen te detecteren voor meer informatie.

Lijst met volglijstaliassen weergeven

Mogelijk moet u een lijst met volglijstaliassen zien om een volglijst te identificeren voor gebruik in een query- of analyseregel.

  1. Voor Microsoft Sentinel in de Azure Portal selecteert u onder Algemeende optie Logboeken.
    Selecteer in de Defender-portalOnderzoek & antwoord>Opsporing>geavanceerde opsporing.

  2. Voer op de pagina Nieuwe query de volgende query uit: _GetWatchlistAlias.

  3. Bekijk de lijst met aliassen op het tabblad Resultaten .

    Schermopname van een lijst met volglijsten.

Zie de Kusto-documentatie voor meer informatie over de volgende items die in de voorgaande voorbeelden worden gebruikt:

Zie overzicht van Kusto-querytaal (KQL) voor meer informatie over KQL.

Andere resources:

Verwante onderwerpen

In dit document hebt u geleerd hoe u volglijsten in Microsoft Sentinel kunt gebruiken om gegevens te verrijken en onderzoeken te verbeteren. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:

  • Last updated on