Volglijsten in Microsoft Sentinel

• Van toepassing op:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Met volglijsten in Microsoft Sentinel kunt u gegevens correleren vanuit een gegevensbron die u verstrekt met de gebeurtenissen in uw Microsoft Sentinel-omgeving. U kunt bijvoorbeeld een volglijst maken met een lijst met hoogwaardige assets, beëindigde werknemers of serviceaccounts in uw omgeving.

Volglijsten gebruiken in uw playbooks voor zoekopdrachten, detectieregels, opsporing van bedreigingen en antwoord.

Volglijsten worden opgeslagen in uw Microsoft Sentinel-werkruimte als naam-waardeparen en worden in de cache opgeslagen voor optimale queryprestaties en lage latentie.

Belangrijk

De functies voor volglijstsjablonen en de mogelijkheid om een volglijst te maken op basis van een bestand in Azure Storage, zijn momenteel in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Wanneer u volglijsten gebruikt

Volglijsten gebruiken om u te helpen bij de volgende scenario's:

• Onderzoek bedreigingen en reageer snel op incidenten met de snelle import van IP-adressen, bestands-hashes en andere gegevens uit CSV-bestanden. Nadat u de gegevens hebt geïmporteerd, gebruikt u naam-waardeparen voor volglijsten voor joins en filters in waarschuwingsregels, opsporing van bedreigingen, werkmappen, notebooks en algemene query's.

• Zakelijke gegevens importeren als volglijst. Importeer bijvoorbeeld gebruikerslijsten met bevoegde systeemtoegang of beëindigde werknemers. Gebruik vervolgens de volglijst om acceptatielijsten en bloklijsten te maken om te detecteren of te voorkomen dat die gebruikers zich aanmelden bij het netwerk.

• Verminder de vermoeidheid van waarschuwingen. Maak acceptatielijsten om waarschuwingen van een groep gebruikers te onderdrukken, zoals gebruikers van geautoriseerde IP-adressen die taken uitvoeren die normaal gesproken de waarschuwing activeren. Voorkomen dat goedaardige gebeurtenissen waarschuwingen worden.

• Gebeurtenisgegevens verrijken. Volglijsten gebruiken om uw gebeurtenisgegevens te verrijken met combinaties van naamwaarden die zijn afgeleid van externe gegevensbronnen.

Beperkingen van volglijsten

Voordat u een volglijst maakt, moet u rekening houden met de volgende beperkingen:

• Wanneer u een volglijst maakt, moeten de naam en alias van de volglijst tussen 3 en 64 tekens zijn. Het eerste en laatste teken moeten alfanumeriek zijn. U kunt echter spaties, afbreekstreepjes en onderstrepingstekens tussen de eerste en laatste tekens opnemen.
• Het gebruik van volglijsten moet worden beperkt tot referentiegegevens, omdat ze niet zijn ontworpen voor grote gegevensvolumes.
• Het totale aantal actieve watchlist-items in alle watchlists in één werkruimte is momenteel beperkt tot 10 miljoen. Verwijderde volglijstitems tellen niet mee voor dit totaal. Als u de mogelijkheid nodig hebt om te verwijzen naar grote gegevensvolumes, kunt u overwegen om ze op te nemen met behulp van aangepaste logboeken .
• Volglijsten worden elke 12 dagen vernieuwd in uw werkruimte, waarbij het TimeGenerated veld wordt bijgewerkt.
• Het gebruik van Lighthouse voor het beheren van watchlists in verschillende werkruimten wordt momenteel niet ondersteund.
• Lokale bestandsuploads zijn momenteel beperkt tot bestanden van maximaal 3,8 MB.
• Bestandsuploads vanuit een Azure Storage-account (in preview) zijn momenteel beperkt tot bestanden van maximaal 500 MB.
• Volglijsten moeten voldoen aan dezelfde kolom- en tabelbeperkingen als KQL-entiteiten. Zie KQL-entiteitsnamen voor meer informatie.

Opties voor het maken van volglijsten

Maak een volglijst in Microsoft Sentinel vanuit een bestand dat u uploadt vanuit een lokale map of vanuit een bestand in uw Azure Storage-account.

U kunt een van de volglijstsjablonen van Microsoft Sentinel downloaden om uw gegevens te vullen. Upload dat bestand vervolgens wanneer u de volglijst in Microsoft Sentinel maakt.

Als u een volglijst wilt maken van een groot bestand dat maximaal 500 MB groot is, uploadt u het bestand naar uw Azure Storage-account. Maak vervolgens een handtekening-URL voor gedeelde toegang voor Microsoft Sentinel om de volglijstgegevens op te halen. Een handtekening-URL voor gedeelde toegang is een URI die zowel de resource-URI als het Shared Access Signature-token van een resource bevat, zoals een CSV-bestand in uw opslagaccount. Voeg tot slot de volglijst toe aan uw werkruimte in Microsoft Sentinel.

Raadpleeg voor meer informatie de volgende artikelen:

• Volglijsten maken in Microsoft Sentinel
• Ingebouwde volglijstschema's
• SAS-token van Azure Storage

Volglijsten in query's voor zoek- en detectieregels

Query's uitvoeren op gegevens in een tabel op basis van gegevens uit een volglijst door de volglijst te behandelen als een tabel voor joins en zoekacties. Wanneer u een volglijst maakt, definieert u de SearchKey. De zoeksleutel is de naam van een kolom in uw volglijst die u verwacht te gebruiken als join met andere gegevens of als een frequent object van zoekopdrachten. Stel dat u een server-watchlist hebt die landnamen en de bijbehorende landcodes van twee letters bevat. U verwacht dat u de landcodes vaak gebruikt voor zoekopdrachten of joins. U gebruikt dus de kolom landcode als de zoeksleutel.

Met de volgende voorbeeldquery wordt de RemoteIPCountry kolom in de Heartbeat tabel samengevoegd met de zoeksleutel die is gedefinieerd voor de volglijst met de naam mywatchlist.

   Heartbeat
  | lookup kind=leftouter _GetWatchlist('mywatchlist') 
   on $left.RemoteIPCountry == $right.SearchKey

Laten we enkele andere voorbeeldquery's bekijken.

Stel dat u een volglijst wilt gebruiken in een analyseregel. U maakt een volglijst met de naam ipwatchlist kolommen voor IPAddress en Location. U definieert IPAddress als de SearchKey.

IPAddress,Location
10.0.100.11,Home
172.16.107.23,Work
10.0.150.39,Home
172.20.32.117,Work

Als u alleen gebeurtenissen van IP-adressen in de volglijst wilt opnemen, kunt u een query gebruiken waarbij watchlist wordt gebruikt als variabele of waar de volglijst inline wordt gebruikt.

In de volgende voorbeeldquery wordt de volglijst als variabele gebruikt:

  //Watchlist as a variable
  let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
  Heartbeat
  | where ComputerIP in (watchlist)

In de volgende voorbeeldquery wordt de volglijst inline gebruikt met de query en de zoeksleutel die is gedefinieerd voor de volglijst.

  //Watchlist inline with the query
  //Use SearchKey for the best performance
  Heartbeat
  | where ComputerIP in ( 
      (_GetWatchlist('ipwatchlist')
      | project SearchKey)
  )

Zie Query's en detectieregels bouwen met volglijsten in Microsoft Sentinel voor meer informatie.

Volgende stappen

Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:

• Volglijsten maken
• Query's en detectieregels bouwen met volglijsten
• Volglijsten beheren
• Meer informatie over hoe u inzicht krijgt in uw gegevens en potentiële bedreigingen.
• Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.
• Werkmappen gebruiken om uw gegevens te bewaken.