إنشاء استعلامات أو قواعد الكشف باستخدام قوائم المشاهدة في Microsoft Sentinel
ربط بيانات قائمة المشاهدة الخاصة بك بأي بيانات Microsoft Sentinel مع عوامل التشغيل الجدولية Kusto مثل join
و lookup
. عندما تقوم بإنشاء قائمة مشاهدة، فإنك تحدد SearchKey. مفتاح البحث هو اسم العمود في قائمة مراقبتك والذي تتوقع استخدامه للضمّ مع بيانات أخرى أو كعنصر متكرر للبحث.
للحصول على الأداء الأمثل للاستعلام، استخدم SearchKey كمفتاح الصلات في استعلاماتك.
هام
يتوفر Microsoft Sentinel بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. للمعاينة، يتوفر Microsoft Sentinel في مدخل Defender بدون Microsoft Defender XDR أو ترخيص E5. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.
إنشاء استعلامات باستخدام قوائم المشاهدة
لاستخدام قائمة مشاهدة في استعلام البحث، اكتب استعلام Kusto الذي يستخدم وظيفة _GetWatchlist ('watchlist-name') ويستخدم SearchKey كمفتاح للانضمام.
بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن Configuration، حدد Watchlist.
بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد Microsoft Sentinel>Configuration>Watchlist.حدد قائمة المشاهدة التي تريد استخدامها.
حدد عرض في السجلات.
راجع علامة التبويب النتائج. يتم استخراج العناصر الموجودة في قائمة المشاهدة تلقائيًا للاستعلام الخاص بك.
يوضح المثال أدناه نتائج استخراج حقلي الاسم وعنوان IP. يتم عرض SearchKey على أنه عمود خاص به.
سيتم تجاهل الطابع الزمني للاستعلامات في كل من واجهة مستخدم الاستعلام وفي التنبيهات المجدولة.
اكتب استعلامًا يستخدم الدالة _GetWatchlist ('watchlist-name') ويستخدم SearchKey كمفتاح للانضمام.
على سبيل المثال، ينضم استعلام المثال التالي إلى
RemoteIPCountry
العمود فيHeartbeat
الجدول مع مفتاح البحث المحدد لقائمة المشاهدة المسماةmywatchlist
.Heartbeat | lookup kind=leftouter _GetWatchlist('mywatchlist') on $left.RemoteIPCountry == $right.SearchKey
تعرض الصورة التالية نتائج هذا الاستعلام المثال في Log Analytics.
إنشاء قاعدة تحليلات باستخدام قائمة مشاهدة
لاستخدام قوائم المشاهدة في قواعد التحليلات، قم بإنشاء قاعدة باستخدام وظيفة _GetWatchlist ('watchlist-name') في الاستعلام.
ضمن Configuration، حدد Analytics.
اختر المنفذ كنوع القاعدة التي تريد إنشاءها.
في علامة التبويب عام ، أدخل المعلومات المناسبة.
في علامة التبويب تعيين منطق القاعدة، ضمن استعلام القاعدة، استخدم الدالة
_GetWatchlist('<watchlist>')
في الاستعلام.على سبيل المثال، لنفترض أن لديك قائمة مشاهدة باسم
ipwatchlist
قمت بإنشائها من ملف CSV بالقيم التالية:IPAddress,Location
10.0.100.11,Home
172.16.107.23,Work
10.0.150.39,Home
172.20.32.117,Work
يبدو ملف CSV مشابها للصورة التالية.
لاستخدام الدالة
_GetWatchlist
لهذا المثال، سيكون الاستعلام الخاص بك هو_GetWatchlist('ipwatchlist')
.في هذا المثال، نقوم بتضمين الأحداث فقط من عناوين IP في قائمة المشاهدة:
//Watchlist as a variable let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress); Heartbeat | where ComputerIP in (watchlist)
يستخدم الاستعلام المثال التالي قائمة المشاهدة المضمنة مع الاستعلام ومفتاح البحث المحدد لقائمة المشاهدة.
//Watchlist inline with the query //Use SearchKey for the best performance Heartbeat | where ComputerIP in ( (_GetWatchlist('ipwatchlist') | project SearchKey) )
تعرض الصورة التالية هذا الاستعلام الأخير المستخدم في استعلام القاعدة.
أكمل بقية علامات التبويب في معالج قاعدة التحليلات.
يتم تحديث قوائم المشاهدة في مساحة العمل الخاصة بك كل 12 يوما، مع تحديث TimeGenerated
الحقل. لمزيد من المعلومات، راجع إنشاء قواعد تحليلات مخصصة للكشف عن التهديدات.
عرض قائمة الأسماء المستعارة لقائمة المشاهدة
قد تحتاج إلى رؤية قائمة الأسماء المستعارة لقائمة المشاهدة لتحديد قائمة مشاهدة لاستخدامها في استعلام أو قاعدة تحليلات.
بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن General، حدد Logs.
في مدخل Defender، حدد البحث والاستجابة>التتبع> المتقدم.في صفحة استعلام جديد، قم بتشغيل الاستعلام التالي:
_GetWatchlistAlias
.راجع قائمة الأسماء المستعارة في علامة التبويب النتائج.
راجع المزيد من المعلومات حول العناصر التالية المستخدمة في الأمثلة السابقة، في وثائق Kusto:
لمزيد من المعلومات حول KQL، راجع نظرة عامة على لغة استعلام Kusto (KQL).
الموارد الأخرى:
المحتوى ذو الصلة
في هذا المستند، تعلمت كيفية استخدام قوائم المشاهدة في Microsoft Sentinel لإثراء البيانات وتحسين التحقيقات. راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel:
- إنشاء قوائم المشاهدة
- تعرّف على كيفية الحصول على رؤية لبياناتك والتهديدات المحتملة.
- ابدأ في اكتشاف التهديدات باستخدام Microsoft Azure Sentinel.
- استخدم المصنفات لمراقبة بياناتك.