Списки просмотров в Microsoft Sentinel

Списки наблюдения в Microsoft Sentinel помогают аналитикам безопасности эффективно сопоставлять и обогащать данные о событиях. Они предоставляют гибкий способ управления эталонными данными, такими как списки ценных активов или уволенных сотрудников. Интегрируйте списки отслеживания в правила обнаружения, охоту на угрозы и рабочие процессы реагирования, чтобы уменьшить усталость от оповещений и быстрее реагировать на угрозы. В этой статье объясняется, как использовать списки просмотра в Microsoft Sentinel, описываются ключевые сценарии и ограничения, а также приводятся рекомендации по созданию списков отслеживания и отправке запросов для повышения эффективности операций безопасности.

Используйте списки просмотров в поисках, правилах обнаружения, охоте на угрозы и сборниках схем реагирования. Списки отслеживания хранятся в рабочей области Microsoft Sentinel в таблице в Watchlist виде пар "имя-значение". Они кэшируются для оптимальной производительности запросов и низкой задержки.

Важно!

Функции для шаблонов списков отслеживания и возможность создания списка отслеживания из файла в хранилище Azure в настоящее время доступны в предварительной версии. Дополнительные условия предварительной версии Azure включают дополнительные юридические условия, применимые к Azure функциям, которые находятся в бета-версии, предварительной версии или еще не выпущены в общедоступную версию.

Когда следует использовать списки просмотра

Используйте списки отслеживания в следующих сценариях:

  • Анализ угроз и быстрое реагирование на инциденты путем импорта IP-адресов, хэшей файлов и других данных из CSV-файлов. После импорта данных используйте пары "имя-значение" списка отслеживания для соединений и фильтров в правилах генерации оповещений, охоте на угрозы, книгах, записных книжках и запросах.

  • Импорт бизнес-данных в виде списка отслеживания. Например, импортируйте списки пользователей с привилегированным доступом к системе или списки уволенных сотрудников. Затем используйте список отслеживания, чтобы создать списки разрешений и списки блокировок, чтобы обнаружить или запретить вход этих пользователей в сеть.

  • Уменьшение усталости оповещений. Создайте списки разрешений для подавления оповещений от группы пользователей, например пользователей с авторизованных IP-адресов, которые выполняют задачи, которые обычно активируют оповещение. Предотвращение оповещений о неопасных событиях.

  • Обогащение данных событий. Используйте списки отслеживания, чтобы добавлять в данные события сочетания "имя-значение" из внешних источников данных.

Ограничения списка отслеживания

Перед созданием списков отслеживания рекомендуется ознакомиться со следующими ограничениями:

Ограничение Сведения
Длина имени и псевдонима списка отслеживания Имена и псевдонимы списка отслеживания должны содержать от 3 до 64 символов. Первые и последние символы должны быть буквенно-цифровыми; пробелы, дефисы и символы подчеркивания, допустимые между.
Предполагаемое использование Используйте списки наблюдения только для эталонных данных. Списки отслеживания не предназначены для больших объемов данных.
Максимальное число активных элементов списка отслеживания Вы можете иметь не более 10 миллионов активных элементов списка отслеживания во всех списках отслеживания в рабочей области. Удаленные элементы не учитываются. Для больших томов используйте пользовательские журналы.
Хранение данных Данные в таблице Списка отслеживания Log Analytics хранятся в течение 28 дней.
Интервал обновления Списки просмотров обновляются каждые 12 дней, обновляя TimeGenerated поле.
Управление между рабочими областями Управление списками отслеживания в рабочих областях с помощью Azure Lighthouse не поддерживается.
Размер локальной отправки файла Отправка локальных файлов ограничена файлами размером до 3,8 МБ.
Размер файла Azure хранилища (предварительная версия) Azure отправка в хранилище ограничена файлами размером до 500 МБ.
Ограничения столбцов и таблиц Списки отслеживания должны следовать ограничениям именования сущностей KQL для столбцов и имен.

методы создания списков отслеживания Microsoft Sentinel

Используйте один из следующих методов для создания списков просмотра в Microsoft Sentinel:

  • Отправка файла из локальной папки или из учетной записи хранения Azure.

  • Скачайте шаблон списка отслеживания из Microsoft Sentinel, добавьте данные, а затем отправьте файл при создании списка отслеживания.

Чтобы создать список отслеживания из большого файла (до 500 МБ), отправьте файл в учетную запись хранения Azure. Создайте URL-адрес подписанного URL-адреса URL-адреса url-адреса подписанного URL-адреса url-адреса, чтобы Microsoft Sentinel могли получать данные списка отслеживания. URL-адрес SAS включает в себя URI ресурса и маркер SAS для ресурса, например CSV-файл в учетной записи хранения. Добавьте список просмотров в рабочую область в Microsoft Sentinel.

Дополнительные сведения см. в разделе:

Списки отслеживания в запросах для поиска и правил обнаружения

Чтобы сопоставить данные списка отслеживания с другими Microsoft Sentinel данными, используйте табличные операторы Kusto, такие как join и lookup с таблицейWatchlist. Microsoft Sentinel создает в рабочей области следующие функции, которые помогают ссылаться на списки отслеживания и запрашивать их:

  • _GetWatchlistAlias — возвращает псевдонимы всех списков просмотра.
  • _GetWatchlist — запрашивает пары "имя-значение" указанного списка отслеживания.

При создании списка отслеживания вы определяете SearchKey. Ключ поиска — это имя столбца в списке отслеживания, который вы планируете использовать в качестве соединения с другими данными или в качестве частого объекта поиска. Например, предположим, что у вас есть серверный список отслеживания, содержащий названия стран или регионов и соответствующие двухбуквенный коды стран. Вы планируете часто использовать коды стран для поиска или присоединения. Поэтому столбец код страны используется в качестве ключа поиска.

Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist') 
  on $left.RemoteIPCountry == $right.SearchKey

Рассмотрим некоторые другие примеры запросов.

Предположим, вы хотите использовать список отслеживания в правиле аналитики. Вы создаете список отслеживания ipwatchlist со столбцами для IPAddress и Location. Вы задали IPAddress значение SearchKey.

IPAddress,Location
10.0.100.11,Home
172.16.107.23,Work
10.0.150.39,Home
172.20.32.117,Work

Чтобы включить в список отслеживания только события с IP-адресов, можно использовать запрос, в watchlist котором используется в качестве переменной или встроенной.

В этом примере запрос использует список отслеживания в качестве переменной:

  //Watchlist as a variable
  let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
  Heartbeat
  | where ComputerIP in (watchlist)

В этом примере запроса используется список отслеживания, встроенный в запрос и ключ поиска, определенный для списка отслеживания.

  //Watchlist inline with the query
  //Use SearchKey for the best performance
  Heartbeat
  | where ComputerIP in ( 
      (_GetWatchlist('ipwatchlist')
      | project SearchKey)
  )

Дополнительные сведения см. в статье Создание запросов и правил обнаружения с помощью списков отслеживания в Microsoft Sentinel и в следующих статьях документации по Kusto:

Дополнительные сведения о KQL см. в статье Общие сведения о язык запросов Kusto (KQL).

Другие ресурсы

Дополнительные сведения см. в разделе: