Membuat kueri atau aturan deteksi dengan daftar tonton di Microsoft Sentinel

  • Artikel
  • 2 menit untuk membaca

Data kueri di tabel mana pun terhadap data dari daftar tonton dengan memperlakukan daftar tonton sebagai tabel untuk gabungan dan pencarian. Saat membuat daftar tonton, Anda akan menentukan SearchKey. Di bidang kunci pencarian, masukkan nama kolom dalam daftar tonton yang ingin Anda gunakan sebagai gabungan dengan data lain atau objek pencarian yang sering.

Untuk kinerja kueri yang optimal, gunakan Searchkey sebagai kunci untuk bergabung dalam kueri Anda.

Membuat kueri dengan daftar tonton

Untuk menggunakan daftar tonton dalam kueri penelusuran, tulis kueri Kusto yang menggunakan fungsi _GetWatchlist('nama daftar tonton') dan menggunakan SearchKey sebagai kunci untuk bergabung.

  1. Di portal Microsoft Azure, buka Microsoft Sentinel dan pilih ruang kerja yang sesuai.

  2. Di bawah Konfigurasi, pilih Daftar Tonton.

  3. Pilih daftar tonton yang ingin Anda gunakan.

  4. Pilih Lihat di analitik log.

    Screenshot that shows how to use watchlists in queries.

  5. Tinjau tab Hasil. Item dalam daftar tonton Anda diekstraksi secara otomatis untuk kueri Anda.

    Contoh di bawah ini menunjukkan hasil ekstraksi bidang Name dan Alamat IP. SearchKey ditampilkan sebagai kolomnya sendiri.

    Screenshot that shows queries with watchlist fields.

    Tanda waktu pada kueri Anda akan diabaikan di antarmuka pengguna kueri dan dalam pemberitahuan terjadwal.

  6. Tulis kueri yang menggunakan fungsi _GetWatchlist('nama daftar tonton') dan gunakan SearchKey sebagai kunci untuk bergabung.

    Misalnya, kueri contoh berikut bergabung dengan kolom RemoteIPCountry dalam tabel Heartbeat dengan kunci pencarian yang ditentukan untuk daftar tonton bernama mywatchlist.

    Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist') 
 on $left.RemoteIPCountry == $right.SearchKey

    Gambar berikut menunjukkan hasil kueri contoh ini di Log Analytics.

    Screenshot of queries against watchlist as lookup.

Membuat aturan analitik dengan daftar tonton

Untuk menggunakan daftar tonton dalam aturan analitik, buat aturan menggunakan fungsi _GetWatchlist('nama daftar tonton') dalam kueri.

  1. Di portal Microsoft Azure, buka Microsoft Sentinel dan pilih ruang kerja yang sesuai.

  2. Di bawah Konfigurasi, pilih Analytics.

  3. Pilih Buat dan sebagai tipe aturan yang ingin Anda buat.

  4. Pada Umum, masukkan informasi yang sesuai.

  5. Pada tab Atur logika aturan, di bawah Kueri aturan gunakan fungsi _GetWatchlist('<watchlist>') dalam kueri.

    Misalnya, katakanlah Anda memiliki daftar tonton bernama "ipwatchlist" yang Anda buat dari file CSV dengan nilai-nilai berikut:

    IPAddress, Lokasi
    10.0.100.11,Home
    172.16.107.23,Work
    10.0.150.39,Home
    172.20.32.117,Work

    File CSV terlihat seperti gambar berikut. Screenshot of four items in a CSV file that's used for the watchlist.

    Untuk menggunakan fungsi _GetWatchlist untuk contoh ini, kueri Anda adalah _GetWatchlist('ipwatchlist').

    Screenshot that shows the query returns the four items from the watchlist.

    Dalam contoh ini, kami hanya menyertakan peristiwa dari alamat IP dalam daftar pengawasan:

    //Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)

    Kueri contoh berikut menggunakan daftar tonton sebaris dengan kueri dan kunci pencarian yang ditentukan untuk daftar tonton.

    //Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in ( 
    (_GetWatchlist('ipwatchlist')
    | project SearchKey)
)

    Gambar berikut menunjukkan kueri terakhir yang digunakan dalam kueri aturan.

    Screenshot that shows how to use watchlists in analytics rules.

  6. Selesaikan sisa tab di panduan aturan Analytics.

Untuk informasi selengkapnya, lihat Membuat aturan analitik kustom untuk mendeteksi ancaman.

Menampilkan daftar alias daftar tonton

Anda mungkin perlu melihat daftar alias daftar pantauan untuk mengidentifikasi daftar pantauan untuk digunakan dalam aturan kueri atau analitik.

  1. Di portal Microsoft Azure, buka Microsoft Sentinel dan pilih ruang kerja yang sesuai.

  2. Di bagianUmum, pilih Log.

  3. Jika Anda melihat daftar kueri, tutup jendela Kueri.

  4. Pada halaman Kueri Baru, jalankan kueri berikut: _GetWatchlistAlias.

  5. Ulas daftar alias di tab Hasil.

    Screenshot that shows a list of watchlists.

Langkah berikutnya

Dalam dokumen ini, Anda mempelajari cara menggunakan daftar pengawasan di Microsoft Sentinel untuk memperkaya data dan meningkatkan penyelidikan. Untuk mempelajari selengkapnya tentang Microsoft Sentinel, lihat artikel berikut: