Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Списки наблюдения в Microsoft Sentinel помогают аналитикам безопасности эффективно сопоставлять и обогащать данные о событиях. Они предоставляют гибкий способ управления эталонными данными, такими как списки ценных активов или уволенных сотрудников. Интегрируйте списки отслеживания в правила обнаружения, охоту на угрозы и рабочие процессы реагирования, чтобы уменьшить усталость от оповещений и быстрее реагировать на угрозы. В этой статье объясняется, как использовать списки просмотра в Microsoft Sentinel, описываются ключевые сценарии и ограничения, а также приводятся рекомендации по созданию списков отслеживания и отправке запросов для повышения эффективности операций безопасности.
Используйте списки просмотров в поисках, правилах обнаружения, охоте на угрозы и сборниках схем реагирования. Списки отслеживания хранятся в рабочей области Microsoft Sentinel в таблице в Watchlist виде пар "имя-значение". Они кэшируются для оптимальной производительности запросов и низкой задержки.
Важно!
Функции для шаблонов списков отслеживания и возможность создания списка отслеживания из файла в хранилище Azure в настоящее время доступны в предварительной версии. Дополнительные условия предварительной версии Azure включают дополнительные юридические условия, применимые к Azure функциям, которые находятся в бета-версии, предварительной версии или еще не выпущены в общедоступную версию.
Когда следует использовать списки просмотра
Используйте списки отслеживания в следующих сценариях:
Анализ угроз и быстрое реагирование на инциденты путем импорта IP-адресов, хэшей файлов и других данных из CSV-файлов. После импорта данных используйте пары "имя-значение" списка отслеживания для соединений и фильтров в правилах генерации оповещений, охоте на угрозы, книгах, записных книжках и запросах.
Импорт бизнес-данных в виде списка отслеживания. Например, импортируйте списки пользователей с привилегированным доступом к системе или списки уволенных сотрудников. Затем используйте список отслеживания, чтобы создать списки разрешений и списки блокировок, чтобы обнаружить или запретить вход этих пользователей в сеть.
Уменьшение усталости оповещений. Создайте списки разрешений для подавления оповещений от группы пользователей, например пользователей с авторизованных IP-адресов, которые выполняют задачи, которые обычно активируют оповещение. Предотвращение оповещений о неопасных событиях.
Обогащение данных событий. Используйте списки отслеживания, чтобы добавлять в данные события сочетания "имя-значение" из внешних источников данных.
Ограничения списка отслеживания
Перед созданием списков отслеживания рекомендуется ознакомиться со следующими ограничениями:
| Ограничение | Сведения |
|---|---|
| Длина имени и псевдонима списка отслеживания | Имена и псевдонимы списка отслеживания должны содержать от 3 до 64 символов. Первые и последние символы должны быть буквенно-цифровыми; пробелы, дефисы и символы подчеркивания, допустимые между. |
| Предполагаемое использование | Используйте списки наблюдения только для эталонных данных. Списки отслеживания не предназначены для больших объемов данных. |
| Максимальное число активных элементов списка отслеживания | Вы можете иметь не более 10 миллионов активных элементов списка отслеживания во всех списках отслеживания в рабочей области. Удаленные элементы не учитываются. Для больших томов используйте пользовательские журналы. |
| Хранение данных | Данные в таблице Списка отслеживания Log Analytics хранятся в течение 28 дней. |
| Интервал обновления | Списки просмотров обновляются каждые 12 дней, обновляя TimeGenerated поле. |
| Управление между рабочими областями | Управление списками отслеживания в рабочих областях с помощью Azure Lighthouse не поддерживается. |
| Размер локальной отправки файла | Отправка локальных файлов ограничена файлами размером до 3,8 МБ. |
| Размер файла Azure хранилища (предварительная версия) | Azure отправка в хранилище ограничена файлами размером до 500 МБ. |
| Ограничения столбцов и таблиц | Списки отслеживания должны следовать ограничениям именования сущностей KQL для столбцов и имен. |
методы создания списков отслеживания Microsoft Sentinel
Используйте один из следующих методов для создания списков просмотра в Microsoft Sentinel:
Отправка файла из локальной папки или из учетной записи хранения Azure.
Скачайте шаблон списка отслеживания из Microsoft Sentinel, добавьте данные, а затем отправьте файл при создании списка отслеживания.
Чтобы создать список отслеживания из большого файла (до 500 МБ), отправьте файл в учетную запись хранения Azure. Создайте URL-адрес подписанного URL-адреса URL-адреса url-адреса подписанного URL-адреса url-адреса, чтобы Microsoft Sentinel могли получать данные списка отслеживания. URL-адрес SAS включает в себя URI ресурса и маркер SAS для ресурса, например CSV-файл в учетной записи хранения. Добавьте список просмотров в рабочую область в Microsoft Sentinel.
Дополнительные сведения см. в разделе:
- Создание списков отслеживания в Microsoft Sentinel
- Встроенные схемы списков отслеживания
- Маркер SAS хранилища Azure
Списки отслеживания в запросах для поиска и правил обнаружения
Чтобы сопоставить данные списка отслеживания с другими Microsoft Sentinel данными, используйте табличные операторы Kusto, такие как join и lookup с таблицейWatchlist. Microsoft Sentinel создает в рабочей области следующие функции, которые помогают ссылаться на списки отслеживания и запрашивать их:
-
_GetWatchlistAlias— возвращает псевдонимы всех списков просмотра. -
_GetWatchlist— запрашивает пары "имя-значение" указанного списка отслеживания.
При создании списка отслеживания вы определяете SearchKey. Ключ поиска — это имя столбца в списке отслеживания, который вы планируете использовать в качестве соединения с другими данными или в качестве частого объекта поиска. Например, предположим, что у вас есть серверный список отслеживания, содержащий названия стран или регионов и соответствующие двухбуквенный коды стран. Вы планируете часто использовать коды стран для поиска или присоединения. Поэтому столбец код страны используется в качестве ключа поиска.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
Рассмотрим некоторые другие примеры запросов.
Предположим, вы хотите использовать список отслеживания в правиле аналитики. Вы создаете список отслеживания ipwatchlist со столбцами для IPAddress и Location. Вы задали IPAddress значение SearchKey.
IPAddress,Location |
|---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
Чтобы включить в список отслеживания только события с IP-адресов, можно использовать запрос, в watchlist котором используется в качестве переменной или встроенной.
В этом примере запрос использует список отслеживания в качестве переменной:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
В этом примере запроса используется список отслеживания, встроенный в запрос и ключ поиска, определенный для списка отслеживания.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
Дополнительные сведения см. в статье Создание запросов и правил обнаружения с помощью списков отслеживания в Microsoft Sentinel и в следующих статьях документации по Kusto:
Дополнительные сведения о KQL см. в статье Общие сведения о язык запросов Kusto (KQL).
Другие ресурсы
Связанные материалы
Дополнительные сведения см. в разделе: