Megosztás a következőn keresztül:

Lekérdezések vagy észlelési szabályok létrehozása figyelőlistákkal a Microsoft Sentinelben

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Korrelálja a figyelőlista adatait a Microsoft Sentinel-adatokkal a Kusto táblázatos operátoraival, például join és lookup. Figyelőlista létrehozásakor meg kell határoznia a SearchKey-et. A keresési kulcs annak az oszlopnak a neve a figyelőlistán, amelyet más adatokkal való összekapcsolásként vagy gyakori keresési objektumként szeretne használni.

Az optimális lekérdezési teljesítmény érdekében használja a SearchKey billentyűt a lekérdezések illesztéseihez.

Fontos

A Microsoft Sentinel általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. Előzetes verzióként a Microsoft Sentinel elérhető a Defender portálon Microsoft Defender XDR vagy E5 licenc nélkül. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Lekérdezések létrehozása figyelőlistával

Ha figyelőlistát szeretne használni a keresési lekérdezésben, írjon egy Kusto-lekérdezést, amely a _GetWatchlist('watchlist-name') függvényt használja, és a SearchKey-t használja az illesztés kulcsaként.

  1. A Microsoft Sentinel esetében az Azure Portal Konfiguráció területén válassza a Figyelőlista lehetőséget.
    Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Konfigurációfigyelőlistát>.

  2. Válassza ki a használni kívánt figyelőlistát.

  3. Válassza a Nézet lehetőséget a naplókban.

    Képernyőkép a figyelőlisták lekérdezésekben való használatáról.

  4. Tekintse át az Eredmények lapot. A rendszer automatikusan kinyeri a figyelőlista elemeit a lekérdezéshez.

    Az alábbi példa a Név és IP-cím mezők kinyerésének eredményeit mutatja be. A SearchKey saját oszlopként jelenik meg.

    Képernyőkép a figyelőlista mezőivel rendelkező lekérdezésekről.

    A lekérdezések időbélyege mind a lekérdezés felhasználói felületén, mind az ütemezett riasztásokban figyelmen kívül lesz hagyva.

  5. Írjon egy lekérdezést, amely a _GetWatchlist('watchlist-name') függvényt használja, és a SearchKey-t használja az illesztés kulcsaként.

    Az alábbi példa lekérdezés például a RemoteIPCountry tábla oszlopához Heartbeat csatlakozik a nevesített mywatchlistfigyelőlistához definiált keresési kulccsal.

    Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist') 
 on $left.RemoteIPCountry == $right.SearchKey

    Az alábbi képen a Példa lekérdezés eredményei láthatók a Log Analyticsben.

    Képernyőkép a figyelőlistán lévő lekérdezések kereséséről.

Elemzési szabály létrehozása figyelőlistával

Ha figyelőlistákat szeretne használni az elemzési szabályokban, hozzon létre egy szabályt a lekérdezés _GetWatchlist('watchlist-name') függvényével.

  1. A Konfiguráció területen válassza az Elemzés lehetőséget.

  2. Válassza a Létrehozás lehetőséget, és a létrehozni kívánt szabály típusát.

  3. Az Általános lapon adja meg a megfelelő információkat.

  4. A Szabály logikai beállítása lap Szabály lekérdezése területén használja a _GetWatchlist('<watchlist>') függvényt a lekérdezésben.

    Tegyük fel például, hogy van egy figyelőlistája ipwatchlist , amelyet egy CSV-fájlból hozott létre a következő értékekkel:

    IPAddress,Location
    10.0.100.11,Home
    172.16.107.23,Work
    10.0.150.39,Home
    172.20.32.117,Work

    A CSV-fájl az alábbi képhez hasonlóan néz ki. Képernyőkép egy figyelőlistához használt CSV-fájl négy eleméről.

    A példa függvényének _GetWatchlist használatához a lekérdezés az lenne _GetWatchlist('ipwatchlist').

    A lekérdezést ábrázoló képernyőkép a figyelőlista négy elemét adja vissza.

    Ebben a példában csak az IP-címekről származó eseményeket vesszük fel a figyelőlistára:

    //Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)

    Az alábbi példa lekérdezés a figyelőlista beágyazott listáját használja a lekérdezéssel és a figyelőlistához definiált keresési kulccsal.

    //Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in ( 
    (_GetWatchlist('ipwatchlist')
    | project SearchKey)
)

    Az alábbi képen ez az utolsó, a szabály lekérdezésében használt lekérdezés látható.

    Képernyőkép az elemzési szabályok figyelőlistáinak használatáról.

  5. Töltse ki az Elemzési szabály varázsló többi lapját.

Az figyelőlisták 12 naponta frissülnek a munkaterületen, és frissítik a TimeGenerated mezőt. További információ: Egyéni elemzési szabályok létrehozása a fenyegetések észleléséhez.

Figyelőlista-aliasok listájának megtekintése

Előfordulhat, hogy a lekérdezési vagy elemzési szabályban használni kívánt figyelőlista azonosításához látnia kell a figyelőlista aliasainak listáját.

  1. Az Azure PortalOn a Microsoft Sentinel esetében az Általános területen válassza a Naplók lehetőséget.
    A Defender portálon válassza a Vizsgálat > válaszkeresés>>speciális vadászat lehetőséget.

  2. Az Új lekérdezés lapon futtassa a következő lekérdezést: _GetWatchlistAlias.

  3. Tekintse át az aliasok listáját az Eredmények lapon.

    Képernyőkép a figyelőlisták listájáról.

Az előző példákban használt alábbi elemekről további információt a Kusto dokumentációjában talál:

A KQL-ről további információt a Kusto lekérdezésnyelv (KQL) áttekintésében talál.

Egyéb erőforrások:

Kapcsolódó tartalom

Ebben a dokumentumban megtanulta, hogyan használhat figyelőlistákat a Microsoft Sentinelben az adatok bővítésére és a vizsgálatok javítására. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben: