Elenchi di controllo in Microsoft Sentinel

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Le watchlist in Microsoft Sentinel consentono di correlare i dati da un'origine dati fornita con gli eventi nell'ambiente Microsoft Sentinel. Ad esempio, è possibile creare un watchlist con un elenco di asset di valore elevato, dipendenti terminati o account di servizio nell'ambiente.

Usare watchlist nei playbook di ricerca, regole di rilevamento, ricerca delle minacce e playbook di risposta.

I watchlist vengono archiviati nell'area di lavoro di Microsoft Sentinel come coppie nome-valore e vengono memorizzati nella cache per ottimizzare le prestazioni delle query e bassa latenza.

Importante

Le funzionalità per i modelli watchlist e la possibilità di creare un watchlist da un file in Archiviazione di Azure sono attualmente in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Quando usare watchlist

Usare watchlist per semplificare gli scenari seguenti:

• Analizzare le minacce e rispondere rapidamente agli eventi imprevisti con l'importazione rapida di indirizzi IP, hash di file e altri dati da file CSV. Dopo aver importato i dati, usare coppie nome-valore watchlist per join e filtri nelle regole di avviso, ricerca di minacce, cartelle di lavoro, notebook e query generali.

• Importare i dati aziendali come watchlist. Ad esempio, importare elenchi di utenti con accesso al sistema con privilegi o dipendenti terminati. Usare quindi l'elenco di controllo per creare elenchi di elementi consentiti e elenchi di blocchi per rilevare o impedire a tali utenti di accedere alla rete.

• Ridurre l'affaticamento degli avvisi. Creare elenchi consentiti per eliminare gli avvisi da un gruppo di utenti, ad esempio gli utenti da indirizzi IP autorizzati che eseguono attività che normalmente attivano l'avviso. Impedire che eventi non dannosi diventino avvisi.

• Arricchire i dati dell'evento. Usare i watchlist per arricchire i dati degli eventi con combinazioni nome-valore derivate da origini dati esterne.

Limitazioni delle watchlist

Prima di creare un watchlist, tenere presenti le limitazioni seguenti:

• Quando si crea un watchlist, il nome e l'alias dell'elenco di controllo devono essere compresi tra 3 e 64 caratteri. Il primo e l'ultimo carattere devono essere alfabetici o numerici. È tuttavia possibile includere spazi vuoti, trattini e caratteri di sottolineatura tra il primo e l'ultimo carattere.
• L'uso di watchlist deve essere limitato ai dati di riferimento, perché non sono progettati per volumi di dati di grandi dimensioni.
• Il numero totale di elementi watchlist attivi in tutti gli watchlist in una singola area di lavoro è attualmente limitato a 10 milioni. Gli elementi dell'elenco di controllo eliminati non vengono conteggiati rispetto a questo totale. Se è necessaria la possibilità di fare riferimento a volumi di dati di grandi dimensioni, è consigliabile inserirli usando i log personalizzati.
• Gli elenchi di controllo vengono aggiornati nell'area di lavoro ogni 12 giorni, aggiornando il TimeGenerated campo.
• L'uso di Lighthouse per gestire le watchlist in aree di lavoro diverse non è attualmente supportato.
• I caricamenti di file locali sono attualmente limitati ai file di dimensioni fino a 3,8 MB.
• I caricamenti di file da un account Archiviazione di Azure (in anteprima) sono attualmente limitati ai file di dimensioni fino a 500 MB.
• Gli elenchi di controllo devono rispettare le stesse restrizioni di colonna e tabella delle entità KQL. Per altre informazioni, vedere Nomi di entità KQL.

Opzioni per creare watchlist

Creare un watchlist in Microsoft Sentinel da un file caricato da una cartella locale o da un file nell'account Archiviazione di Azure.

È possibile scaricare uno dei modelli watchlist da Microsoft Sentinel per popolare i dati. Caricare quindi il file quando si crea l'elenco di controllo in Microsoft Sentinel.

Per creare un watchlist da un file di grandi dimensioni fino a 500 MB, caricare il file nell'account Archiviazione di Azure. Creare quindi un URL di firma di accesso condiviso per Microsoft Sentinel per recuperare i dati watchlist. Un URL di firma di accesso condiviso è un URI che contiene sia l'URI della risorsa che il token di firma di accesso condiviso di una risorsa, ad esempio un file CSV nell'account di archiviazione. Aggiungere infine l'elenco di controllo all'area di lavoro in Microsoft Sentinel.

Per altre informazioni, vedere gli articoli seguenti:

• Creare watchlist in Microsoft Sentinel
• Schemi watchlist predefiniti
• Archiviazione di Azure token di firma di accesso condiviso

Watchlist nelle query per le ricerche e le regole di rilevamento

Eseguire query sui dati di qualsiasi tabella rispetto ai dati di un watchlist considerando l'elenco di controllo come tabella per join e ricerche. Quando si crea un watchlist, si definisce SearchKey. La chiave di ricerca è il nome di una colonna nell'elenco di controllo che si prevede di usare come join con altri dati o come oggetto frequente di ricerche. Si supponga, ad esempio, di avere un watchlist del server che contiene i nomi dei paesi e i rispettivi codici paese a due lettere. Si prevede di usare spesso i codici paese per le ricerche o i join. Quindi si usa la colonna del codice paese come chiave di ricerca.

La query di esempio seguente unisce la RemoteIPCountry colonna nella Heartbeat tabella con la chiave di ricerca definita per l'watchlist denominata mywatchlist.

   Heartbeat
  | lookup kind=leftouter _GetWatchlist('mywatchlist') 
   on $left.RemoteIPCountry == $right.SearchKey

Verranno ora esaminate altre query di esempio.

Si supponga di voler usare un watchlist in una regola di analisi. Viene creato un watchlist denominato ipwatchlist che include colonne per IPAddress e Location. Si definisce IPAddress come SearchKey.

IPAddress,Location
10.0.100.11,Home
172.16.107.23,Work
10.0.150.39,Home
172.20.32.117,Work

Per includere solo gli eventi degli indirizzi IP nell'elenco di controllo, è possibile usare una query in cui l'elenco di controllo viene usato come variabile o in cui viene usato l'elenco di controllo inline.

La query di esempio seguente usa l'watchlist come variabile:

  //Watchlist as a variable
  let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
  Heartbeat
  | where ComputerIP in (watchlist)

La query di esempio seguente usa l'elenco di controllo inline con la query e la chiave di ricerca definita per l'watchlist.

  //Watchlist inline with the query
  //Use SearchKey for the best performance
  Heartbeat
  | where ComputerIP in ( 
      (_GetWatchlist('ipwatchlist')
      | project SearchKey)
  )

Per altre informazioni, vedere Creare query e regole di rilevamento con watchlist in Microsoft Sentinel.

Passaggi successivi

Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:

• Creare watchlist
• Creare query e regole di rilevamento con watchlist
• Gestire le watchlist
• Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
• Introduzione al rilevamento delle minacce con Microsoft Sentinel.
• Usare le cartelle di lavoro per monitorare i dati.