Korzystanie z list do obejrzenia usługi Microsoft Sentinel

Uwaga

Azure Sentinel nosi teraz nazwę Microsoft Sentinel i w najbliższych tygodniach będziemy aktualizować te strony. Dowiedz się więcej o najnowszych ulepszeniach zabezpieczeń firmy Microsoft.

Listy do obejrzenia usługi Microsoft Sentinel umożliwiają zbieranie danych z zewnętrznych źródeł danych w celu korelacji ze zdarzeniami w środowisku usługi Microsoft Sentinel. Po utworzeniu możesz używać list do obejrzenia w podręcznikach wyszukiwania, reguł wykrywania, wyszukiwania zagrożeń i odpowiedzi. Listy do obejrzenia są przechowywane w obszarze roboczym usługi Microsoft Sentinel jako pary nazwa-wartość i są buforowane w celu uzyskania optymalnej wydajności zapytań i małych opóźnień.

Ważne

Zauważyć funkcje są obecnie w wersji zapoznawczej. Postanowienia uzupełniające dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, w wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane jako ogólnie dostępne.

Typowe scenariusze dotyczące korzystania z list do obejrzenia obejmują:

  • Szybkie badanie zagrożeń i reagowanie na zdarzenia dzięki szybkiemu importowaniu adresów IP, skrótów plików i innych danych z plików CSV. Po zaimportowaniu można używać par nazwa-wartość listy do obejrzenia dla sprzężenia i filtrów w zasadach alertów, wykrywaniu zagrożeń, skoroszytach, notesach i zapytaniach ogólnych.

  • Importowanie danych biznesowych jako listy do obejrzenia. Na przykład zaimportuj listy użytkowników z uprzywilejowanym dostępem systemowym lub zakończonych pracowników, a następnie użyj listy do obejrzenia, aby utworzyć listy do zezwalania i listy zablokowanych używane do wykrywania lub uniemożliwiania tym użytkownikom logowania się do sieci.

  • Zmniejszenie liczby alertów. Utwórz listy dozwolonych, aby pomijać alerty z grupy użytkowników, na przykład użytkowników z autoryzowanych adresów IP, którzy wykonują zadania, które zwykle wyzwalałyby alert, i zapobiegać sytuacji, w których alerty stają się niegroźne.

  • Wzbogacanie danych zdarzenia. Użyj list do obejrzenia, aby wzbogacić dane zdarzeń o kombinacje nazwa-wartość pochodzące z zewnętrznych źródeł danych.

Uwaga

  • Korzystanie z list do obejrzenia powinno być ograniczone do danych referencyjnych, ponieważ nie są one przeznaczone dla dużych ilości danych.

  • Łączna liczba aktywnych elementów listy do obejrzenia we wszystkich listach do obejrzenia w jednym obszarze roboczym jest obecnie ograniczona do 10 milionów. Usunięte elementy listy do obejrzenia nie są wliczane do tej sumy. Jeśli potrzebujesz możliwości odwołania się do dużych woluminów danych, rozważ ich pozyskiwanie przy użyciu dzienników niestandardowych.

  • Listy do obejrzenia można odwoływać się tylko z poziomu tego samego obszaru roboczego. Scenariusze z różnymi obszarami roboczymi lub usługą Lighthouse nie są obecnie obsługiwane.

Tworzenie nowej listy do obejrzenia

  1. W witrynie Azure Portal pozycję Lista do obejrzenia konfiguracji usługi Microsoft Sentinel, a następnie wybierz pozycję + Dodaj nowy.

    new watchlist

  2. Na stronie Ogólne podaj nazwę, opis i alias listy do obejrzenia, a następnie wybierz pozycję Dalej: Źródło.

    watchlist general page

  3. Na stronie Źródło wybierz typ zestawu danych (obecnie dostępny jest tylko plik CSV), wprowadź liczbę wierszy przed wierszem nagłówka w pliku danych, a następnie wybierz plik do przekazania na jeden z dwóch sposobów:

    1. Kliknij link Przeglądaj pliki w Upload pliku i wybierz plik danych do przekazania.
    2. Przeciągnij plik danych i upuść go w Upload pliku.

    Na ekranie kreatora zostanie wyświetlony podgląd pierwszych 50 wierszy wyników.

  4. W polu SearchKey wprowadź na liście do obejrzenia nazwę kolumny, która ma być sprzężeniami z innymi danymi lub częstym obiektem wyszukiwania. Jeśli na przykład lista do obejrzenia serwera zawiera nazwy krajów i ich dwulitowe kody krajów i oczekujesz, że kody krajów będą często używane do wyszukiwania lub dołączania, użyj kolumny Kod jako klucza wyszukiwania.

  5. Wybierz

    watchlist source page

    Uwaga

    Przekazywanie plików jest obecnie ograniczone do plików o rozmiarze do 3,8 MB.

  6. Przejrzyj informacje, sprawdź, czy są poprawne, poczekaj na komunikat Weryfikacja pomyślnie przekazana, a następnie wybierz pozycję Utwórz.

    watchlist review page

    Po utworzeniu listy do obejrzenia zostanie wyświetlone powiadomienie.

    watchlist successful creation notification

Tworzenie nowej listy do obejrzenia przy użyciu szablonu (publiczna wersja zapoznawcza)

  1. Z witryny Azure Portal do tematu Microsoft SentinelConfigurationWatchlistTemplates (Preview) (Szablony listy do obejrzenia konfiguracji usługi Microsoft Sentinel (wersja zapoznawcza).

  2. Wybierz szablon z listy, aby wyświetlić szczegóły po prawej stronie, a następnie wybierz pozycję Utwórz na podstawie szablonu, aby utworzyć listę do obejrzenia.

    Create a watchlist from a built-in template.

  3. Kontynuuj w kreatorze Listy do obejrzenia:

    • W przypadku korzystania z szablonu listy do obejrzenia wartości Name, Descriptioni Watchlist Alias listy do obejrzenia są tylko do odczytu.

    • Wybierz pozycję Pobierz schemat, aby pobrać plik CSV zawierający odpowiedni schemat oczekiwany dla wybranego szablonu listy do obejrzenia.

    Każdy wbudowany szablon listy do obejrzenia ma własny zestaw danych wymienionych w pliku CSV dołączonym do szablonu. Aby uzyskać więcej informacji, zobacz Wbudowane schematy listy do obejrzenia

  4. Wypełnij lokalną wersję pliku CSV, a następnie przekaż go z powrotem do kreatora.

  5. Kontynuuj, tak jak podczas tworzenia nowej listy do obejrzenia od podstaw, anastępnie użyj swojej listy do obejrzenia z zapytaniami iregułami analizy.

Używanie list do obejrzenia w zapytaniach

Porada

Aby uzyskać optymalną wydajność zapytań, użyj wartości SearchKey (reprezentującej pole zdefiniowane podczas tworzenia listy do obejrzenia) jako klucza sprzężenia w zapytaniach. Zobacz przykład poniżej.

  1. W witrynie Azure Portal pozycję Microsoft SentinelConfigurationWatchlist(Lista do obejrzenia konfiguracji usługi Microsoft Sentinel), wybierz listę do obejrzenia, której chcesz użyć, a następnie wybierz pozycję View in Log Analytics (Wyświetl w uwitrynie Log Analytics).

    use watchlists in queries

  2. Elementy na liście do obejrzenia zostaną automatycznie wyodrębnione dla zapytania i pojawią się na karcie Wyniki. W poniższym przykładzie pokazano wyniki wyodrębniania pól Nazwa i Adres IP. Klucz SearchKey jest wyświetlany jako własną kolumnę.

    Uwaga

    Znacznik czasu zapytań zostanie zignorowany zarówno w interfejsie użytkownika zapytania, jak i w zaplanowanych alertach.

    queries with watchlist fields

  3. Dane w dowolnej tabeli można odpytować względem danych z listy do obejrzenia, traktując listę do obejrzenia jako tabelę sprzężenia i wyszukiwania. Użyj klucza SearchKey jako klucza dla sprzężenia.

    Heartbeat
    | lookup kind=leftouter _GetWatchlist('mywatchlist') 
     on $left.RemoteIPCountry == $right.SearchKey
    

    queries against watchlist as lookup

Używanie list do obejrzenia w zasadach analizy

Porada

Aby uzyskać optymalną wydajność zapytań, użyj wartości SearchKey (reprezentującej pole zdefiniowane podczas tworzenia listy do obejrzenia) jako klucza sprzężenia w zapytaniach. Zobacz przykład poniżej.

Aby używać list do obejrzenia w regułach analizy, z Azure Portal przejdź do usługi Microsoft SentinelConfiguration Analytics i utwórz regułę przy użyciu funkcji w zapytaniu.

  1. W tym przykładzie utwórz listę do obejrzenia o nazwie "ipwatchlist" z następującymi wartościami:

    list of four items for watchlist

    create watchlist with four items

  2. Następnie utwórz regułę analizy. W tym przykładzie do listy do obejrzenia dołączamy tylko zdarzenia z adresów IP:

    //Watchlist as a variable
    let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
    Heartbeat
    | where ComputerIP in (watchlist)
    
    //Watchlist inline with the query
    //Use SearchKey for the best performance
    Heartbeat
    | where ComputerIP in ( 
        (_GetWatchlist('ipwatchlist')
        | project SearchKey)
    )
    

    use watchlists in analytics rules

Wyświetlanie listy aliasów list do obejrzenia

Aby uzyskać listę aliasów listy do obejrzenia, z witryny Azure Portal przejdź do dzienników ogólnych usługi Microsoft Sentineli uruchom następujące zapytanie: . Lista aliasów jest wyświetlona na karcie Wyniki.

list watchlists

Zarządzanie listą do obejrzenia w portalu usługi Microsoft Sentinel

Możesz również wyświetlać, edytować i tworzyć nowe elementy listy do obejrzenia bezpośrednio z bloku Lista do obejrzenia w portalu usługi Microsoft Sentinel.

  1. Aby edytować listę do obejrzenia, przejdź do pozycji Lista do obejrzenia konfiguracji > usługi Microsoft Sentinel, >wybierz listę do obejrzenia, którą chcesz edytować, a następnie wybierz pozycję Edytuj elementy listy do obejrzenia w okienku szczegółów.

    Screen shot showing how to edit a watchlist

  2. Aby edytować istniejący element listy do obejrzenia, zaznacz pole wyboru tego elementu listy do obejrzenia, edytuj element i wybierz pozycję Zapisz. W wierszu polecenia potwierdzenia wybierz pozycję Tak.

    Screen shot showing how to mark and edit a watchlist item.

    Screen shot confirm your changes.

  3. Aby dodać nowy element do listy do obejrzenia, wybierz pozycję Dodaj nowy na ekranie Edytowanie elementów listy do obejrzenia, wypełnij pola w panelu Dodawanie elementu listy do obejrzenia i wybierz pozycję Dodaj w dolnej części tego panelu.

    Screen shot showing how to add a new item to your watchlist.

Następne kroki

W tym dokumencie opisano, jak używać list do obejrzenia w programie Microsoft Sentinel w celu wzbogacania danych i ulepszania badań. Aby dowiedzieć się więcej na temat usługi Microsoft Sentinel, zobacz następujące artykuły: