Figyelőlisták használata a Microsoft Sentinelben

A Microsoft Sentinel figyelőlistái lehetővé teszik, hogy a Microsoft Sentinel-környezetben megadott adatforrásból származó adatokat korrelálja. Létrehozhat például egy figyelőlistát a környezetében lévő nagy értékű eszközök, megszüntetett alkalmazottak vagy szolgáltatásfiókok listájával.

Használjon figyelőlistákat a kereséshez, az észlelési szabályokhoz, a fenyegetéskereséshez és a válasz forgatókönyvekhez.

A figyelőlisták a Microsoft Sentinel-munkaterületen név-érték párokként vannak tárolva, és gyorsítótárazva vannak az optimális lekérdezési teljesítmény és az alacsony késés érdekében.

Fontos

A figyelőlistasablonok funkciói és a figyelőlisták Azure Storage-fájlból való létrehozásának lehetősége jelenleg ELŐZETES VERZIÓban érhető el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Mikor érdemes figyelőlistákat használni?

Figyelőlistákkal a következő forgatókönyvekben segíthet:

  • Az IP-címek, fájlkivonatok és egyéb adatok CSV-fájlokból való gyors importálásával gyorsan kivizsgálhatja a fenyegetéseket és reagálhat az incidensekre. Az adatok importálása után használja a figyelőlista név-érték párjait a riasztási szabályok, a fenyegetéskeresés, a munkafüzetek, a jegyzetfüzetek és az általános lekérdezések illesztéseihez és szűrőihez.

  • Üzleti adatok importálása figyelőlistaként. Importálhat például kiemelt rendszerhozzáféréssel rendelkező felhasználói listákat, vagy megszüntetett alkalmazottakat. Ezután a figyelőlistával engedélyezési listákat és tiltólistákat hozhat létre, amelyekkel észlelheti vagy megakadályozhatja, hogy ezek a felhasználók bejelentkezhessenek a hálózatra.

  • Csökkentse a riasztások kifáradtságát. Olyan engedélyezési listákat hozhat létre, amelyek letiltják a felhasználók egy csoportjából érkező riasztásokat, például olyan engedélyezett IP-címekről származó felhasználókat, amelyek olyan feladatokat hajtanak végre, amelyek általában aktiválják a riasztást. A jóindulatú események riasztássá válásának megakadályozása.

  • Eseményadatok bővítése. Figyelőlistákkal bővítheti eseményadatait külső adatforrásokból származó név-érték kombinációkkal.

A figyelőlisták korlátozásai

Figyelőlista létrehozása előtt vegye figyelembe a következő korlátozásokat:

  • A figyelőlistákat a referenciaadatokra kell korlátozni, mivel nem nagy adatmennyiségekhez vannak kialakítva.
  • Az aktív figyelőlistaelemek teljes száma egy munkaterület összes figyelőlistáján jelenleg 10 millióra korlátozódik. A törölt figyelőlistaelemek nem számítanak bele ebbe az összegbe. Ha nagy adatkötetek hivatkozására van szüksége, fontolja meg az egyéni naplók használatával való betöltését.
  • Az figyelőlisták 12 naponta frissülnek a munkaterületen, és frissítik a TimeGenerated mezőt.
  • Jelenleg nem támogatott a Lighthouse használata a különböző munkaterületek figyelőlistáinak kezeléséhez.
  • A helyi fájlfeltöltések jelenleg legfeljebb 3,8 MB méretű fájlokra korlátozódnak.
  • Az Azure Storage-fiókból (előzetes verzióban) történő fájlfeltöltések jelenleg legfeljebb 500 MB méretű fájlokra korlátozódnak.
  • A figyelőlistáknak ugyanazoknak az oszlop- és táblakorlátozásoknak kell megfelelniük, mint a KQL-entitásoknak. További információ: KQL-entitásnevek.

Figyelőlisták létrehozásának lehetőségei

Hozzon létre egy figyelőlistát a Microsoft Sentinelben egy helyi mappából vagy egy Azure Storage-fiókban lévő fájlból feltöltött fájlból.

Az adatok feltöltéséhez letöltheti az egyik figyelőlistasablont a Microsoft Sentinelből. Ezután töltse fel a fájlt, amikor létrehozza a figyelőlistát a Microsoft Sentinelben.

Ha akár 500 MB méretű nagyméretű fájlból szeretne figyelőlistát létrehozni, töltse fel a fájlt az Azure Storage-fiókjába. Ezután hozzon létre egy közös hozzáférésű jogosultságkód URL-címét a Microsoft Sentinel számára a figyelőlista adatainak lekéréséhez. A megosztott hozzáférésű jogosultságkód URL-címe egy olyan URI, amely az erőforrás URI-ját és a megosztott hozzáférésű jogosultságkód tokent is tartalmazza, például egy csv-fájlt a tárfiókban. Végül adja hozzá a figyelőlistát a munkaterülethez a Microsoft Sentinelben.

További információért tekintse át az alábbi cikkeket:

Keresési és észlelési szabályok lekérdezéseinek figyelőlistái

Bármely táblában adatokat kérdezhet le egy figyelőlistáról származó adatokhoz, ha a figyelőlistát táblaként kezeli az illesztésekhez és a keresésekhez. Figyelőlista létrehozásakor meg kell határoznia a SearchKey-et. A keresési kulcs annak az oszlopnak a neve a figyelőlistán, amelyet más adatokkal való összekapcsolásként vagy gyakori keresési objektumként szeretne használni. Tegyük fel például, hogy van egy kiszolgálófigyelőlistája, amely tartalmazza az országneveket és a hozzájuk tartozó kétbetűs országkódokat. Az országkódokat gyakran kell használni a kereséshez vagy a csatlakozáshoz. Ezért az országkód oszlopot használja keresési kulcsként.

Az alábbi példa lekérdezés összekapcsolja a RemoteIPCountry tábla oszlopát a Heartbeat mywatchlist nevű figyelőlistához definiált keresési kulccsal.

   Heartbeat
  | lookup kind=leftouter _GetWatchlist('mywatchlist') 
   on $left.RemoteIPCountry == $right.SearchKey

Nézzünk meg néhány más példa lekérdezést.

Tegyük fel, hogy egy elemzési szabályban figyelőlistát szeretne használni. Létrehoz egy "ipwatchlist" nevű figyelőlistát, amely az "IPAddress" és a "Location" oszlopokat tartalmazza. Keresési kulcsként az "IPAddress" kifejezést kell megadnia.

IPAddress,Hely
10.0.100.11,Kezdőlap
172.16.107.23,Munka
10.0.150.39,Kezdőlap
172.20.32.117,Munka

Ha csak az IP-címekről származó eseményeket szeretné belefoglalni a figyelőlistára, használhat olyan lekérdezést, amelyben a figyelőlistát változóként használják, vagy ahol a figyelőlistát beágyazottan használják.

Az alábbi példa lekérdezés a figyelőlistát használja változóként:

  //Watchlist as a variable
  let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
  Heartbeat
  | where ComputerIP in (watchlist)

Az alábbi példa lekérdezés a figyelőlista beágyazott listáját használja a lekérdezéssel és a figyelőlistához definiált keresési kulccsal.

  //Watchlist inline with the query
  //Use SearchKey for the best performance
  Heartbeat
  | where ComputerIP in ( 
      (_GetWatchlist('ipwatchlist')
      | project SearchKey)
  )

További információ: Lekérdezések és észlelési szabályok létrehozása figyelőlistákkal a Microsoft Sentinelben.

Következő lépések

A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben: