مشاركة عبر

إنشاء استعلامات أو قواعد الكشف باستخدام قوائم المشاهدة في Microsoft Sentinel

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

ربط بيانات قائمة المشاهدة الخاصة بك بأي بيانات Microsoft Sentinel مع عوامل التشغيل الجدولية Kusto مثل join و lookup. عندما تقوم بإنشاء قائمة مشاهدة، فإنك تحدد SearchKey. مفتاح البحث هو اسم العمود في قائمة مراقبتك والذي تتوقع استخدامه للضمّ مع بيانات أخرى أو كعنصر متكرر للبحث.

للحصول على الأداء الأمثل للاستعلام، استخدم SearchKey كمفتاح الصلات في استعلاماتك.

هام

يتوفر Microsoft Sentinel بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. للمعاينة، يتوفر Microsoft Sentinel في مدخل Defender بدون Microsoft Defender XDR أو ترخيص E5. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

إنشاء استعلامات باستخدام قوائم المشاهدة

لاستخدام قائمة مشاهدة في استعلام البحث، اكتب استعلام Kusto الذي يستخدم وظيفة _GetWatchlist ('watchlist-name') ويستخدم SearchKey كمفتاح للانضمام.

  1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن Configuration، حدد Watchlist.
    بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد Microsoft Sentinel>Configuration>Watchlist.

  2. حدد قائمة المشاهدة التي تريد استخدامها.

  3. حدد عرض في السجلات.

    Screenshot that shows how to use watchlists in queries.

  4. راجع علامة التبويب النتائج. يتم استخراج العناصر الموجودة في قائمة المشاهدة تلقائيًا للاستعلام الخاص بك.

    يوضح المثال أدناه نتائج استخراج حقلي الاسم وعنوان IP. يتم عرض SearchKey على أنه عمود خاص به.

    Screenshot that shows queries with watchlist fields.

    سيتم تجاهل الطابع الزمني للاستعلامات في كل من واجهة مستخدم الاستعلام وفي التنبيهات المجدولة.

  5. اكتب استعلامًا يستخدم الدالة _GetWatchlist ('watchlist-name') ويستخدم SearchKey كمفتاح للانضمام.

    على سبيل المثال، ينضم استعلام المثال التالي إلى RemoteIPCountry العمود في Heartbeat الجدول مع مفتاح البحث المحدد لقائمة المشاهدة المسماة mywatchlist.

    Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist') 
 on $left.RemoteIPCountry == $right.SearchKey

    تعرض الصورة التالية نتائج هذا الاستعلام المثال في Log Analytics.

    Screenshot of queries against watchlist as lookup.

إنشاء قاعدة تحليلات باستخدام قائمة مشاهدة

لاستخدام قوائم المشاهدة في قواعد التحليلات، قم بإنشاء قاعدة باستخدام وظيفة _GetWatchlist ('watchlist-name') في الاستعلام.

  1. ضمن Configuration، حدد Analytics.

  2. اختر المنفذ كنوع القاعدة التي تريد إنشاءها.

  3. في علامة التبويب عام ، أدخل المعلومات المناسبة.

  4. في علامة التبويب تعيين منطق القاعدة، ضمن استعلام القاعدة، استخدم الدالة _GetWatchlist('<watchlist>') في الاستعلام.

    على سبيل المثال، لنفترض أن لديك قائمة مشاهدة باسم ipwatchlist قمت بإنشائها من ملف CSV بالقيم التالية:

    IPAddress,Location
    10.0.100.11,Home
    172.16.107.23,Work
    10.0.150.39,Home
    172.20.32.117,Work

    يبدو ملف CSV مشابها للصورة التالية. Screenshot of four items in a CSV file that's used for the watchlist.

    لاستخدام الدالة _GetWatchlist لهذا المثال، سيكون الاستعلام الخاص بك هو _GetWatchlist('ipwatchlist').

    Screenshot that shows the query returns the four items from the watchlist.

    في هذا المثال، نقوم بتضمين الأحداث فقط من عناوين IP في قائمة المشاهدة:

    //Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)

    يستخدم الاستعلام المثال التالي قائمة المشاهدة المضمنة مع الاستعلام ومفتاح البحث المحدد لقائمة المشاهدة.

    //Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in ( 
    (_GetWatchlist('ipwatchlist')
    | project SearchKey)
)

    تعرض الصورة التالية هذا الاستعلام الأخير المستخدم في استعلام القاعدة.

    Screenshot that shows how to use watchlists in analytics rules.

  5. أكمل بقية علامات التبويب في معالج قاعدة التحليلات.

يتم تحديث قوائم المشاهدة في مساحة العمل الخاصة بك كل 12 يوما، مع تحديث TimeGenerated الحقل. لمزيد من المعلومات، راجع إنشاء قواعد تحليلات مخصصة للكشف عن التهديدات.

عرض قائمة الأسماء المستعارة لقائمة المشاهدة

قد تحتاج إلى رؤية قائمة الأسماء المستعارة لقائمة المشاهدة لتحديد قائمة مشاهدة لاستخدامها في استعلام أو قاعدة تحليلات.

  1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن General، حدد Logs.
    في مدخل Defender، حدد البحث والاستجابة>التتبع> المتقدم.

  2. في صفحة استعلام جديد، قم بتشغيل الاستعلام التالي: _GetWatchlistAlias.

  3. راجع قائمة الأسماء المستعارة في علامة التبويب النتائج.

    Screenshot that shows a list of watchlists.

راجع المزيد من المعلومات حول العناصر التالية المستخدمة في الأمثلة السابقة، في وثائق Kusto:

لمزيد من المعلومات حول KQL، راجع نظرة عامة على لغة استعلام Kusto (KQL).

الموارد الأخرى:

المحتوى ذو الصلة

في هذا المستند، تعلمت كيفية استخدام قوائم المشاهدة في Microsoft Sentinel لإثراء البيانات وتحسين التحقيقات. راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel: