قوائم المشاهدة في Microsoft Sentinel
تسمح لك قوائم المشاهدة في Microsoft Sentinel بربط البيانات من مصدر بيانات توفره بالأحداث في بيئة Microsoft Sentinel. على سبيل المثال، يمكنك إنشاء قائمة مشاهدة مع قائمة بالأصول عالية القيمة أو الموظفين المنتهيين أو حسابات الخدمة في بيئتك.
استخدم قوائم المشاهدة في كتيبات البحث وقواعد الاكتشاف والبحث عن التهديدات والاستجابة.
مع العلم بأن قوائم المشاهدة تُخزّن في مساحة عمل Microsoft Sentinel كأزواج اسم-قيمة وتُخزَّن مؤقتًا لتقديم أفضل أداء استعلام وزمن انتقال بطئ.
هام
ميزات قوالب قائمة المشاهدة والقدرة على إنشاء قائمة مشاهدة من ملف في تخزين Azure موجودة حاليًا في PREVIEW. تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.
متى يحين موعد استخدام قوائم المشاهدة
استخدم قوائم المشاهدة لمساعدتك في السيناريوهات الآتية:
التحقيق في التهديدات والاستجابة للحوادث بسرعة من خلال الاستيراد السريع لعناوين IP وتجزئة الملفات والبيانات الأخرى من ملفات CSV. بمجرد استيراد هذه البيانات، استخدم أزواج اسم وقيم قائمة المشاهدة للصلات وعوامل التصفية في قواعد التنبيه والبحث عن التهديدات والمصنفات ودفاتر الملاحظات والاستعلامات العامة.
استورد بيانات الأعمال كقائمة مشاهدة. على سبيل المثال، قم باستيراد قوائم المستخدمين ذات الوصول المميز للنظام أو الموظفين المنتهية خدمتهم. بعد ذلك، استخدم قائمة المشاهدة لإنشاء قوائم السماح وقوائم الحظر لاكتشاف أو منع هؤلاء المستخدمين من تسجيل الدخول إلى الشبكة.
التقليل من إزعاج التنبيهات. أنشئ قوائم السماح لمنع التنبيهات من مجموعة من المستخدمين، مثل المستخدمين من عناوين IP المصرح بها والتي تؤدي المهام التي عادةً ما تؤدي إلى تشغيل التنبيه. امنع الأحداث غير الضارة من أن تصبح تنبيهات.
أثر بيانات الأحداث. استخدِم قوائم المشاهدة لإثراء بيانات الحدث الخاص بك بمجموعات اسم-قيمة المشتقة من مصادر البيانات الخارجية.
محددات قوائم المشاهدة
قبل إنشاء قائمة مشاهدة، كن على دراية بالمحددات التالية:
- عند إنشاء قائمة مشاهدة، يجب أن يتراوح كل من اسم قائمة المشاهدة والاسم المستعار بين 3 و64 حرفًا. يجب أن تكون الأحرف الأولى والأخيرة أبجدية رقمية. ولكن يمكنك تضمين المسافات البيضاء والواصلات والتسطير السفلي بين الحرفين الأول والأخير.
- يجب أن يقتصر استخدام قوائم المشاهدة على البيانات المرجعية، لأنها غير مصممة للتعامل مع أحجام كبيرة من البيانات.
- يقتصر العدد الكلي لعناصر قائمة المشاهدة النشطة عبر جميع قوائم المشاهدة في مساحة عمل واحدة حاليًا على 10 ملايين عنصر. لا يتم احتساب عناصر قائمة المشاهدة المحذوفة من هذا العدد الكلي. إذا كنت تحتاج إلى القدرة على الإشارة إلى كميات كبيرة من البيانات، ففكر في استيعابها باستخدام سجلات مخصصة بدلاً من ذلك.
- يتم تحديث قوائم المشاهدة في مساحة العمل الخاصة بك كل 12 يوما، مع تحديث
TimeGeneratedالحقل. - لا يتم دعم استخدام Lighthouse لإدارة قوائم المشاهدة عبر مساحات عمل مختلفة في الوقت الحالي.
- مع العلم بأن تحميلات الملفات المحلية تقتصر حاليًا على الملفات التي يصل حجمها إلى 3.8 ميجابايت.
- عمليات تحميل الملفات من حساب Azure Storage (في المعاينة) محدودة حاليًا بملفات يصل حجمها إلى 500 ميغابايت.
- يجب أن تلتزم قوائم المراقبة بنفس قيود العمود والجدول مثل كيانات KQL. لمزيد من المعلومات، راجع أسماء كيانات KQL.
خيارات للتمكن من إنشاء قوائم المشاهدة
قم بإنشاء قائمة مشاهدة في Microsoft Azure Sentinel من ملف تقوم بتحميله من مجلد محلي أو من ملف في حساب Azure Storage الخاص بك.
لديك خيار تنزيل أحد قوالب قائمة المشاهدة من Microsoft Azure Sentinel لتعبئتها ببياناتك. ثم قم بتحميل هذا الملف عند إنشاء قائمة المشاهدة في Microsoft Sentinel.
لإنشاء قائمة مشاهدة من ملف كبير يصل حجمه إلى 500 ميغابايت، قم بتحميل الملف إلى حساب تخزين Azure الخاص بك. ثم قم بإنشاء عنوان URL لتوقيع الوصول المشترك لـMicrosoft Sentinel لاسترداد بيانات قائمة المشاهدة. عنوان URL لتوقيع الوصول المشترك هو URI يحتوي على كل من URI المورد ورمز توقيع الوصول المشترك لمورد مثل ملف csv في حساب التخزين الخاص بك. وأخيرًا، أضف قائمة المشاهدة إلى مساحة العمل الخاصة بك في Microsoft Azure Sentinel.
لمزيد من المعلومات، راجع المقالات التالية:
- إنشاء قوائم مراقبة في Microsoft Azure Sentinel
- المخططات المتضمنة بقائمة المشاهدة
- رمز SAS المميز لموقع تخزين Azure
قوائم المشاهدة في طلبات البحث وقواعد الكشف
استعلام عن البيانات في أي جدول مقابل البيانات من قائمة المشاهدة عن طريق التعامل مع قائمة المشاهدة كجدول لعمليات الصلات وعمليات البحث. عندما تقوم بإنشاء قائمة مشاهدة، فإنك تحدد SearchKey. مفتاح البحث هو اسم العمود في قائمة مراقبتك والذي تتوقع استخدامه للضمّ مع بيانات أخرى أو كعنصر متكرر للبحث. على سبيل المثال، لنفترض أن لديك قائمة مشاهدة للخادم تحتوي على أسماء البلدان ورموز البلدان المكونة من حرفين. تتوقع استخدام رموز البلد غالبا لعمليات البحث أو الصلات. لذلك تستخدم عمود رمز البلد كمفتاح البحث.
ينضم استعلام المثال التالي إلى RemoteIPCountry العمود في Heartbeat الجدول مع مفتاح البحث المحدد لقائمة المشاهدة المسماة mywatchlist.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
لنلق نظرة على بعض الاستعلامات الأخرى.
افترض أنك تريد استخدام قائمة مشاهدة في قاعدة تحليلات. يمكنك إنشاء قائمة مشاهدة تسمى ipwatchlist تتضمن أعمدة ل IPAddress و Location. يمكنك تعريف IPAddress على أنه SearchKey.
IPAddress,Location |
|---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
لإدراج الأحداث من عناوين IP فقط في قائمة المشاهدة، يمكنك استخدام استعلام حيث يتم استخدام قائمة المشاهدة كمتغير أو حيث يتم استخدام قائمة المشاهدة مضمنة.
يستخدم الاستعلام المثال التالي قائمة المشاهدة كمتغير:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
يستخدم الاستعلام المثال التالي قائمة المشاهدة المضمنة مع الاستعلام ومفتاح البحث المحدد لقائمة المشاهدة.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
لمزيد من المعلومات، راجع إنشاء الاستعلامات وقواعد الكشف باستخدام قوائم المشاهدة في Microsoft Azure Sentinel.
الخطوات التالية
راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel: