Listas de observação no Microsoft Sentinel

• Aplica-se a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

As listas de observação no Microsoft Sentinel permitem correlacionar dados de uma fonte de dados fornecida com os eventos em seu ambiente Microsoft Sentinel. Por exemplo, você pode criar uma lista de observação com uma lista de ativos de alto valor, funcionários demitidos ou contas de serviço em seu ambiente.

Use listas de observação em sua pesquisa, regras de deteção, caça a ameaças e playbooks de resposta.

As listas de observação são armazenadas em seu espaço de trabalho do Microsoft Sentinel como pares nome-valor e são armazenadas em cache para um desempenho de consulta ideal e baixa latência.

Importante

Os recursos para modelos de lista de observação e a capacidade de criar uma lista de observação a partir de um arquivo no Armazenamento do Azure estão atualmente em VISUALIZAÇÃO. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Quando usar listas de observação

Use listas de observação para ajudá-lo com os seguintes cenários:

• Investigue ameaças e responda a incidentes rapidamente com a importação rápida de endereços IP, hashes de arquivos e outros dados de arquivos CSV. Depois de importar os dados, use pares nome-valor da lista de observação para associações e filtros em regras de alerta, caça a ameaças, pastas de trabalho, blocos de anotações e consultas gerais.

• Importe dados corporativos como uma lista de observação. Por exemplo, importe listas de usuários com acesso privilegiado ao sistema ou funcionários demitidos. Em seguida, use a lista de observação para criar listas de permissões e listas de bloqueio para detetar ou impedir que esses usuários façam login na rede.

• Reduza a fadiga de alerta. Crie listas de permissões para suprimir alertas de um grupo de usuários, como usuários de endereços IP autorizados que executam tarefas que normalmente disparariam o alerta. Evitar que eventos benignos se tornem alertas.

• Enriqueça os dados do evento. Use listas de observação para enriquecer os dados do evento com combinações nome-valor derivadas de fontes de dados externas.

Limitações das listas de vigilância

Antes de criar uma lista de observação, esteja ciente das seguintes limitações:

• Quando você cria uma lista de observação, o nome e o alias da lista de observação devem ter entre 3 e 64 caracteres. O primeiro e o último caracteres devem ser alfanuméricos. Mas você pode incluir espaços em branco, hífenes e sublinhados entre o primeiro e o último caracteres.
• O uso de listas de observação deve ser limitado a dados de referência, pois eles não são projetados para grandes volumes de dados.
• O número total de itens ativos da lista de observação em todas as listas de observação em um único espaço de trabalho está atualmente limitado a 10 milhões. Os itens excluídos da lista de observação não contam para esse total. Se você precisar da capacidade de fazer referência a grandes volumes de dados, considere ingeri-los usando logs personalizados.
• As listas de observação são atualizadas no seu espaço de trabalho a cada 12 dias, atualizando o TimeGenerated campo.
• No momento, não há suporte para o uso do Lighthouse para gerenciar listas de observação em diferentes espaços de trabalho.
• Atualmente, os uploads de arquivos locais estão limitados a arquivos de até 3,8 MB de tamanho.
• Os carregamentos de ficheiros a partir de uma conta de Armazenamento do Azure (em pré-visualização) estão atualmente limitados a ficheiros até 500 MB de tamanho.
• As listas de observação devem respeitar as mesmas restrições de coluna e tabela que as entidades KQL. Para obter mais informações, consulte Nomes de entidades KQL.

Opções para criar listas de observação

Crie uma lista de observação no Microsoft Sentinel a partir de um arquivo carregado de uma pasta local ou de um arquivo em sua conta de Armazenamento do Azure.

Você tem a opção de baixar um dos modelos de lista de observação do Microsoft Sentinel para preencher com seus dados. Em seguida, carregue esse arquivo ao criar a lista de observação no Microsoft Sentinel.

Para criar uma lista de observação a partir de um arquivo grande de até 500 MB, carregue o arquivo em sua conta de Armazenamento do Azure. Em seguida, crie uma URL de assinatura de acesso compartilhado para o Microsoft Sentinel para recuperar os dados da lista de observação. Uma URL de assinatura de acesso compartilhado é um URI que contém o URI do recurso e o token de assinatura de acesso compartilhado de um recurso, como um arquivo csv em sua conta de armazenamento. Por fim, adicione a lista de observação ao seu espaço de trabalho no Microsoft Sentinel.

Para obter mais informações, consulte os seguintes artigos que podem estar em inglês:

• Criar listas de observação no Microsoft Sentinel
• Esquemas de lista de observação integrados
• Token SAS do Armazenamento do Azure

Listas de observação em consultas para pesquisas e regras de deteção

Consulte dados em qualquer tabela em relação aos dados de uma lista de observação tratando a lista de observação como uma tabela para junções e pesquisas. Ao criar uma lista de observação, você define a SearchKey. A chave de pesquisa é o nome de uma coluna na sua lista de observação que você espera usar como uma junção com outros dados ou como um objeto frequente de pesquisas. Por exemplo, suponha que você tenha uma lista de observação do servidor que contenha nomes de países e seus respetivos códigos de país de duas letras. Espera utilizar frequentemente os códigos de país para pesquisas ou participações. Assim, você usa a coluna do código do país como a chave de pesquisa.

A consulta de exemplo a seguir une a RemoteIPCountry coluna na Heartbeat tabela com a chave de pesquisa definida para a lista de observação chamada mywatchlist.

   Heartbeat
  | lookup kind=leftouter _GetWatchlist('mywatchlist') 
   on $left.RemoteIPCountry == $right.SearchKey

Vejamos alguns outros exemplos de consultas.

Suponha que você queira usar uma lista de observação em uma regra de análise. Você cria uma lista de observação chamada ipwatchlist que inclui colunas para IPAddress e Location. Você define IPAddress como a SearchKey.

IPAddress,Location
10.0.100.11,Home
172.16.107.23,Work
10.0.150.39,Home
172.20.32.117,Work

Para incluir apenas eventos de endereços IP na lista de observação, você pode usar uma consulta em que a lista de observação é usada como uma variável ou em que a lista de observação é usada embutida.

A consulta de exemplo a seguir usa a lista de observação como uma variável:

  //Watchlist as a variable
  let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
  Heartbeat
  | where ComputerIP in (watchlist)

A consulta de exemplo a seguir usa a lista de observação em linha com a consulta e a chave de pesquisa definida para a lista de observação.

  //Watchlist inline with the query
  //Use SearchKey for the best performance
  Heartbeat
  | where ComputerIP in ( 
      (_GetWatchlist('ipwatchlist')
      | project SearchKey)
  )

Para obter mais informações, consulte Criar consultas e regras de deteção com listas de observação no Microsoft Sentinel.

Próximos passos

Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:

• Criar listas de observação
• Crie consultas e regras de deteção com listas de observação
• Gerenciar listas de observação
• Saiba como obter visibilidade dos seus dados e potenciais ameaças.
• Comece a detetar ameaças com o Microsoft Sentinel.
• Use pastas de trabalho para monitorar seus dados.