Microsoft Sentinel'de İzleme Listeleri
Microsoft Sentinel'deki izleme listeleri, sağladığınız bir veri kaynağındaki verileri Microsoft Sentinel ortamınızdaki olaylarla ilişkilendirmenize olanak tanır. Örneğin, yüksek değerli varlıkların, sonlandırılan çalışanların veya ortamınızdaki hizmet hesaplarının listesini içeren bir izleme listesi oluşturabilirsiniz.
Arama, algılama kuralları, tehdit avcılığı ve yanıt playbook'larınızda izleme listelerini kullanın.
İzleme listeleri, tablodaki Microsoft Sentinel çalışma alanınızda Watchlist
ad-değer çiftleri olarak depolanır ve en iyi sorgu performansı ve düşük gecikme süresi için önbelleğe alınır.
Önemli
İzleme listesi şablonlarının özellikleri ve Azure Depolama'daki bir dosyadan izleme listesi oluşturma özelliği şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.
İzleme listeleri ne zaman kullanılır?
Aşağıdaki senaryolarda size yardımcı olması için izleme listelerini kullanın:
CSV dosyalarından IP adreslerinin, dosya karmalarının ve diğer verilerin hızlı bir şekilde içeri aktarılmasıyla tehditleri araştırın ve olaylara hızla yanıt verin. Verileri içeri aktardıktan sonra uyarı kuralları, tehdit avcılığı, çalışma kitapları, not defterleri ve genel sorgulardaki birleşimler ve filtreler için izleme listesi ad-değer çiftlerini kullanın.
İş verilerini izleme listesi olarak içeri aktar. Örneğin, ayrıcalıklı sistem erişimi olan veya sonlandırılan çalışanlar olan kullanıcı listelerini içeri aktarabilirsiniz. Ardından, bu kullanıcıların ağda oturum açmasını algılamak veya engellemek için izin verilenler ve engelleme listeleri oluşturmak için izleme listesini kullanın.
Uyarı yorgunluğunu azaltın. Normalde uyarıyı tetikleyen görevleri gerçekleştiren yetkili IP adreslerinden kullanıcılar gibi bir kullanıcı grubundan gelen uyarıları engellemek için izin verilenler listesi oluşturun. Zararsız olayların uyarı haline gelmesini önleyin.
Olay verilerini zenginleştirin. Olay verilerinizi dış veri kaynaklarından türetilen ad-değer birleşimleriyle zenginleştirmek için izleme listelerini kullanın.
İzleme listelerinin sınırlamaları
İzleme listesi oluşturmadan önce aşağıdaki sınırlamalara dikkat edin:
- İzleme listesi oluşturduğunuzda, izleme listesi adı ve diğer adların her birinin 3 ile 64 karakter arasında olması gerekir. İlk ve son karakterler alfasayısal olmalıdır. Ancak, ilk ve son karakterler arasında boşluk, kısa çizgi ve alt çizgi ekleyebilirsiniz.
- İzleme listelerinin kullanımı, büyük veri hacimleri için tasarlanmadıkları için başvuru verileriyle sınırlı olmalıdır.
- Tek bir çalışma alanında tüm izleme listelerindeki etkin izleme listesi öğelerinin toplam sayısı şu anda 10 milyon ile sınırlıdır. Silinen izleme listesi öğeleri bu toplama göre sayılmaz. Büyük veri birimlerine başvurma yeteneğine ihtiyacınız varsa bunları özel günlükler kullanarak almayı göz önünde bulundurun.
- İzleme listeleri çalışma alanınızda her 12 günde bir yenilenir ve alanı güncelleştirir
TimeGenerated
. - Lighthouse'un farklı çalışma alanlarındaki izleme listelerini yönetmek için kullanılması şu anda desteklenmemektedir.
- Yerel dosya yüklemeleri şu anda boyutu 3,8 MB'a kadar olan dosyalarla sınırlıdır.
- Azure Depolama hesabından (önizlemede) dosya yükleme işlemleri şu anda boyutu 500 MB'a kadar olan dosyalarla sınırlıdır.
- İzleme listeleri, KQL varlıklarıyla aynı sütun ve tablo kısıtlamalarına uymalıdır. Daha fazla bilgi için bkz . KQL varlık adları.
İzleme listesi oluşturma seçenekleri
Yerel bir klasörden veya Azure Depolama hesabınızdaki bir dosyadan yüklediğiniz bir dosyadan Microsoft Sentinel'de bir izleme listesi oluşturun.
Verilerinizle doldurmak için Microsoft Sentinel'den izleme listesi şablonlarından birini indirme seçeneğiniz vardır. Ardından, Microsoft Sentinel'de izleme listesini oluşturduğunuzda bu dosyayı karşıya yükleyin.
Boyutu 500 MB'a kadar olan büyük bir dosyadan izleme listesi oluşturmak için dosyayı Azure Depolama hesabınıza yükleyin. Ardından, izleme listesi verilerini almak üzere Microsoft Sentinel için paylaşılan erişim imzası URL'si oluşturun. Paylaşılan erişim imzası URL'si, depolama hesabınızdaki csv dosyası gibi bir kaynağın hem kaynak URI'sini hem de paylaşılan erişim imzası belirtecini içeren bir URI'dir. Son olarak, izleme listesini Microsoft Sentinel'deki çalışma alanınıza ekleyin.
Daha fazla bilgi için aşağıdaki makaleleri inceleyin:
- Microsoft Sentinel'de izleme listeleri oluşturma
- Yerleşik izleme listesi şemaları
- Azure Depolama SAS belirteci
Aramalar ve algılama kuralları için sorgulardaki izleme listeleri
İzleme listesi verilerinizi diğer Microsoft Sentinel verileriyle ilişkilendirmek için ve lookup
gibi join
Kusto tablo işleçlerini tabloyla Watchlist
birlikte kullanın. Microsoft Sentinel, izleme listelerinize başvurmaya ve sorgulamaya yardımcı olmak için çalışma alanında iki işlev oluşturur.
-
_GetWatchlistAlias
- yalnızca tüm izleme listelerinizin diğer adlarını döndürür -
_GetWatchlist
- belirtilen izleme listesinin ad-değer çiftlerini sorgular
İzleme listesi oluşturduğunuzda SearchKey'i tanımlarsınız. Arama anahtarı, izleme listenizde diğer verilerle birleştirme veya sık kullanılan arama nesnesi olarak kullanmayı beklediğiniz sütunun adıdır. Örneğin, ülke/bölge adlarını ve bunların ilgili iki harfli ülke kodlarını içeren bir sunucu izleme listenize sahip olduğunuzu varsayalım. Ülke kodlarını aramalar veya birleşimler için sık sık kullanmayı bekliyorsunuz. Bu nedenle arama anahtarı olarak ülke kodu sütununu kullanırsınız.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
Şimdi diğer örnek sorgulara bakalım.
Analiz kuralında izleme listesi kullanmak istediğinizi varsayalım. ve Location
sütunlarını IPAddress
içeren adlı ipwatchlist
bir izleme listesi oluşturursunuz. SearchKey olarak tanımlarsınızIPAddress
.
IPAddress,Location |
---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
İzleme listesine yalnızca IP adreslerinden gelen olayları eklemek için, değişken olarak kullanılan veya izleme listesinin satır içinde kullanıldığı bir sorgu watchlist
kullanabilirsiniz.
Aşağıdaki örnek sorgu, izleme listesini değişken olarak kullanır:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
Aşağıdaki örnek sorgu, izleme listesi satır içi sorgusunu ve izleme listesi için tanımlanan arama anahtarını kullanır.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
Daha fazla bilgi için bkz . Microsoft Sentinel'de izleme listeleriyle sorgular ve algılama kuralları oluşturma.
Yukarıdaki örneklerde kullanılan aşağıdaki öğeler hakkında daha fazla bilgiyi Kusto belgelerinde bulabilirsiniz:
KQL hakkında daha fazla bilgi için bkz. Kusto Sorgu Dili (KQL) genel bakış.
Diğer kaynaklar:
Sonraki adımlar
Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:
- İzleme listeleri oluşturma
- İzleme listeleriyle sorgular ve algılama kuralları oluşturma
- İzleme listelerini yönetme
- Verilerinize ve olası tehditlere nasıl görünürlük elde etmeyi öğrenin.
- Microsoft Sentinel ile tehditleri algılamaya başlayın.
- Verilerinizi izlemek için çalışma kitaplarını kullanın.