Watchlist in Microsoft Sentinel
Le watchlist in Microsoft Sentinel consentono di correlare i dati da un'origine dati fornita con gli eventi nell'ambiente Microsoft Sentinel. Ad esempio, è possibile creare una watchlist con un elenco di risorse di valore elevato, dipendenti non più in servizio o account di servizio nell'ambiente.
Usare le watchlist nei playbook di ricerca, delle regole di rilevamento, di ricerca delle minacce e in quelli di risposta.
I watchlist vengono archiviati nell'area di lavoro di Microsoft Sentinel come coppie nome-valore e vengono memorizzati nella cache per ottimizzare le prestazioni delle query e bassa latenza.
Importante
Le funzionalità per i modelli watchlist e la possibilità di creare una watchlist da un file in Archiviazione di Azure sono attualmente in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Quando usare le watchlist
Usare watchlist per semplificare gli scenari seguenti:
Analizzare le minacce e rispondere rapidamente agli incidenti importando rapidamente indirizzi IP, hash di file e altri dati da file CSV. Dopo aver importato i dati, usare coppie nome-valore watchlist per join e filtri nelle regole di avviso, ricerca di minacce, cartelle di lavoro, notebook e query generali.
Importare i dati aziendali come watchlist. Ad esempio, importare elenchi di utenti con accesso al sistema con privilegi o dipendenti terminati. Usare quindi la watchlist per creare elenchi di elementi consentiti e elenchi di blocchi per rilevare o impedire a tali utenti di accedere alla rete.
Ridurre gli avvisi eccessivi. Creare elenchi consentiti per eliminare gli avvisi da un gruppo di utenti, ad esempio gli utenti di indirizzi IP autorizzati che eseguono attività che normalmente attivano l'avviso. Impedire che eventi non dannosi diventino avvisi.
Arricchire i dati dell'evento. Usare i watchlist per arricchire i dati degli eventi con combinazioni nome-valore derivate da origini dati esterne.
Limitazioni delle watchlist
Prima di creare un watchlist, tenere presenti le limitazioni seguenti:
- Quando si crea una watchlist, il nome e l'alias dell'elenco di controllo devono essere compresi tra 3 e 64 caratteri. Il primo e l'ultimo carattere devono essere alfabetici o numerici. È tuttavia possibile includere spazi vuoti, trattini e caratteri di sottolineatura tra il primo e l'ultimo carattere.
- L'uso di watchlist deve essere limitato ai dati di riferimento, perché non sono progettate per volumi di dati di grandi dimensioni.
- Il numero totale di elementi watchlist attivi in tutte le watchlist in una singola area di lavoro è attualmente limitato a 10 milioni. Gli elementi dell'elenco di controllo eliminati non vengono conteggiati rispetto a questo totale. Se è necessaria la possibilità di fare riferimento a volumi di dati di grandi dimensioni, è consigliabile inserirli usando invece i log personalizzati.
- Le watchlist vengono aggiornate nell'area di lavoro ogni 12 giorni, aggiornando il campo
TimeGenerated. - L'uso di Lighthouse per gestire le watchlist in aree di lavoro diverse non è attualmente supportato.
- I caricamenti di file locali sono attualmente limitati ai file di dimensioni fino a 3,8 MB.
- I caricamenti di file da un account di archiviazione di Azure (in anteprima) sono attualmente limitati ai file con dimensioni fino a 500 MB.
- Gli elenchi di controllo devono rispettare le stesse restrizioni di colonna e tabella delle entità KQL. Per altre informazioni, vedere Nomi di entità KQL.
Opzioni per creare watchlist
Creare una watchlist in Microsoft Sentinel da un file caricato da una cartella locale o da un file nell'account di archiviazione di Azure.
È possibile scaricare uno dei modelli watchlist da Microsoft Sentinel per popolare i dati. Caricare quindi il file quando si crea la watchlist in Microsoft Sentinel.
Per creare una watchlist da un file di grandi dimensioni fino a 500 MB, caricare il file nell'account di archiviazione di Azure. Creare quindi un URL di firma di accesso condiviso per Microsoft Sentinel per recuperare i dati watchlist. Un URL di firma di accesso condiviso è un URI che contiene sia l'URI della risorsa che il token di firma di accesso condiviso di una risorsa, ad esempio un file CSV nell'account di archiviazione. Aggiungere infine la watchlist all'area di lavoro in Microsoft Sentinel.
Per altre informazioni, vedere gli articoli seguenti:
- Creare watchlist in Microsoft Sentinel
- Schemi watchlist predefiniti
- Token di firma di accesso condiviso di Archiviazione di Azure
Watchlist nelle query per le ricerche e le regole di rilevamento
Eseguire query sui dati di qualsiasi tabella rispetto ai dati di una watchlist considerando la watchlist come tabella per join e ricerche. Quando si crea una watchlist, si definisce la SearchKey. La chiave di ricerca è il nome di una colonna nella watchlist che si prevede di usare come join con altri dati o come oggetto frequente di ricerche. Si supponga, ad esempio, di avere una watchlist del server che contiene i nomi dei paesi e i rispettivi codici paese a due lettere. Si prevede di usare spesso i codici paese per le ricerche o i join. Quindi si usa la colonna del codice paese come chiave di ricerca.
La query di esempio seguente unisce la colonna RemoteIPCountry nella tabella Heartbeat con la chiave di ricerca definita per la watchlist denominata mywatchlist.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
Verranno ora esaminate altre query di esempio.
Si supponga di voler usare un watchlist in una regola di analisi. Si crea una watchlist denominata ipwatchlist che include colonne per IPAddress e Location. Si definisce IPAddress come SearchKey.
IPAddress,Location |
|---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
Per includere solo gli eventi degli indirizzi IP nell'elenco di controllo, è possibile usare una query in cui l'elenco di controllo viene usato come variabile o in cui viene usato l'elenco di controllo inline.
La query di esempio seguente usa la watchlist come variabile:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
La query di esempio seguente usa la watchlist inline con la query e la chiave di ricerca definita per la watchlist.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
Per altre informazioni, vedere Creare query e regole di rilevamento con watchlist in Microsoft Sentinel.
Passaggi successivi
Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:
- Creare watchlist
- Creare query e regole di rilevamento con watchlist
- Gestire le watchlist
- Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
- Iniziare a rilevare minacce con Microsoft Sentinel.
- Usare le cartelle di lavoro per monitorare i dati.