Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Списки наблюдения в Microsoft Sentinel помогают аналитикам безопасности эффективно сопоставлять и дополнять данные событий. Они предоставляют гибкий способ управления ссылочными данными, такими как списки высокоценных активов или уволенных сотрудников. Интегрируйте списки наблюдения в правила обнаружения, охоту на угрозы и рабочие процессы реагирования, чтобы снизить усталость оповещений и быстрее реагировать на угрозы. В этой статье объясняется, как использовать списки наблюдения в Microsoft Sentinel, описывает ключевые сценарии и ограничения, а также предоставляет рекомендации по созданию и запросу списков наблюдения для повышения эффективности операций безопасности.
Используйте списки видео к просмотру при поиске, в правилах обнаружения, при охоте на угрозы и в сборниках схем ответов. Списки наблюдения хранятся в рабочей области Microsoft Sentinel в таблице Watchlist в виде пар имя-значение. Они кэшируются для оптимальной производительности запросов и низкой задержки.
Внимание
Функции шаблонов списков видео к просмотру и возможность создания списка видео к просмотру из файла в службе хранилища Azure в настоящее время находятся на стадии предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Когда следует использовать списки видео к просмотру
Используйте списки наблюдения в следующих сценариях:
Анализ угроз и реагирование на инциденты быстро путем импорта IP-адресов, хэшей файлов и других данных из CSV-файлов. После импорта данных используйте пары имя-значение для списка наблюдения для объединений и фильтров в правилах оповещений, поиске угроз, учебных пособиях, записных книжках и запросах.
Импорт бизнес-данных в виде списка отслеживания. Например, импортируйте списки пользователей с привилегированным доступом к системе или списки уволенных сотрудников. Затем используйте список отслеживания, чтобы создать списки разрешений и блок-списки для обнаружения или предотвращения входа пользователей в сеть.
Сокращение объема оповещений. Создайте списки разрешений для подавления оповещений из группы пользователей, например пользователей с авторизованных IP-адресов, выполняющих задачи, которые обычно активируют оповещение. Предотвратите преобразование безопасных событий в оповещения.
Обогащение данных о событиях. Используйте списки наблюдения для добавления сочетаний значений имени из внешних источников данных в данные события.
Ограничения списка наблюдения
Перед созданием списков наблюдения рекомендуется ознакомиться со следующими ограничениями:
| Ограничение | Сведения |
|---|---|
| Длина названия и псевдонима списка отслеживания | Имена списков отслеживания и псевдонимы должны находиться в диапазоне от 3 до 64 символов. Первые и последние символы должны быть буквенно-цифровыми; пробелы, дефисы и символы подчеркивания допустимы между ними. |
| Предполагаемое использование | Используйте списки наблюдения только для эталонных данных. Списки наблюдения не предназначены для больших томов данных. |
| Максимальное количество активных элементов списка наблюдения | У вас может быть не более 10 миллионов активных элементов списка наблюдения во всех списках наблюдения в рабочей области. Удаленные элементы не учитываются. Для больших объемов используйте пользовательские журналы. |
| Хранение данных | Данные в таблице "Контрольный список Log Analytics" хранятся в течение 28 дней. |
| Интервал обновления | Списки наблюдения обновляются каждые 12 дней, при этом обновляется поле TimeGenerated. |
| Управление несколькими рабочими областями | Управление списками наблюдения в рабочих областях с помощью Azure Lighthouse не поддерживается. |
| Размер отправки локального файла | Локальные отправки файлов ограничены файлами размером до 3,8 МБ. |
| Размер отправки файла службы хранилища Azure (предварительная версия) | Отправка службы хранилища Azure ограничена файлами до 500 МБ. |
| Ограничения столбцов и таблиц | Списки наблюдения должны соответствовать ограничениям именования сущностей KQL для столбцов и имен. |
Методы создания списка наблюдения Microsoft Sentinel
Используйте один из следующих методов для создания списков наблюдения в Microsoft Sentinel:
Отправка файла из локальной папки или из учетной записи хранения Azure.
Скачайте шаблон списка наблюдения из Microsoft Sentinel, добавьте данные и отправьте файл при создании списка наблюдения.
Чтобы создать список отслеживания из большого файла (до 500 МБ), отправьте файл в учетную запись хранения Azure. Создайте URL-адрес с общей подпиской (SAS), чтобы Microsoft Sentinel смог получить данные списка наблюдения. URL-адрес SAS включает как URI ресурса, так и маркер SAS для ресурса, например CSV-файл в учетной записи хранения. Добавьте список наблюдения в рабочую область Microsoft Sentinel.
Дополнительные сведения можно найти здесь
- Создание списков отслеживания в Microsoft Sentinel
- Встроенные схемы списков видео к просмотру
- Маркер SAS службы хранилища Azure
Списки видео к просмотру в запросах поиска и правилах обнаружения
Чтобы сопоставить данные списка наблюдения с другими данными Microsoft Sentinel, используйте табличные операторы Kusto, такие как join и lookup с таблицей Watchlist . Microsoft Sentinel создает следующие функции в рабочей области для справки и запроса списков наблюдения:
-
_GetWatchlistAlias— возвращает псевдонимы ваших списков отслеживания. -
_GetWatchlist— запрашивает пары "имя-значение" указанного списка наблюдения
При создании списка видео к просмотру определяется ключ поиска. Ключ поиска — это имя столбца в списке видео к просмотру, который предполагается использовать в качестве соединения с другими данными или частыми объектами поиска. Например, предположим, что у вас есть список наблюдения за сервером, содержащий имена стран или регионов и соответствующие коды стран с двумя буквами. Вы ожидаете, что коды стран часто используются для поиска или присоединения. Поэтому вы используете столбец кодов стран в качестве ключа поиска.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
Рассмотрим другие примеры запросов.
Предположим, вы хотите использовать список видео к просмотру в правиле аналитики. Вы создаете список отслеживания, названный ipwatchlist, с колонками для IPAddress и Location. Вы задаете IPAddress как SearchKey.
IPAddress,Location |
|---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
Чтобы включить только события из IP-адресов в список наблюдения, можно использовать запрос, где watchlist используется в качестве переменной или встроенной.
В этом примере запрос использует список наблюдения в качестве переменной:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
В этом примере запрос использует встроенный список наблюдения в сочетании с запросом и ключ поиска, специально определенный для этого списка наблюдения.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
Дополнительные сведения см. в статье о создании запросов и правил обнаружения с помощью списков наблюдения в Microsoft Sentinel и следующих статьях в документации Kusto:
Дополнительные сведения о KQL см. в обзоре язык запросов Kusto (KQL).
Другие ресурсы:
Связанный контент
Дополнительные сведения можно найти здесь