Списки наблюдения в Microsoft Sentinel
Списки видео к просмотру в Microsoft Sentinel позволяют сопоставлять данные из указанного источника данных с событиями в среде Microsoft Sentinel. Например, вы можете создать список видео к просмотру, содержащий ценные ресурсы, уволенных сотрудников или учетные записи служб в вашей среде.
Используйте списки видео к просмотру при поиске, в правилах обнаружения, при охоте на угрозы и в сборниках схем ответов.
Списки отслеживания хранятся в рабочей области Microsoft Sentinel в виде пар "имя/значение" и кэшируются для обеспечения оптимальной производительности запросов и низкой задержки.
Внимание
Функции шаблонов списков видео к просмотру и возможность создания списка видео к просмотру из файла в службе хранилища Azure в настоящее время находятся на стадии предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Когда следует использовать списки видео к просмотру
Списки видео к просмотру могут помочь в следующих ситуациях:
Исследование угроз и оперативное реагирование на инциденты с помощью быстрого импорта IP-адресов, хэшей файлов и других данных из CSV-файлов. После импорта данных пары "имя-значение" из списка видео к просмотру можно использовать для соединений и фильтров в правилах генерации оповещений, при поиске угроз, в книгах, записных книжках и общих запросах.
Импорт бизнес-данных в виде списка отслеживания. Например, можно импортировать списки пользователей с привилегированным доступом к системе или списки уволенных сотрудников. Затем используйте список видео к просмотру для создания списков разрешений и блокировок, применяемых для обнаружения пользователей в сети и предотвращения их входа в сеть.
Сокращение объема оповещений. Создайте списки разрешений для подавления оповещений от группы пользователей, например от пользователей с разрешенных IP-адресов, выполняющих задачи, которые обычно активируют оповещения. Предотвратите преобразование безопасных событий в оповещения.
Обогащение данных о событиях. Используйте списки отслеживания, чтобы дополнить данные событий с помощью сочетаний "имя/значение", полученных из внешних источников данных.
Ограничения списков видео к просмотру
Перед созданием списка видео к просмотру учтите следующие ограничения:
- При создании списка отслеживания имя и псевдоним списка отслеживания должны находиться в диапазоне от 3 до 64 символов. Первый и последний знаки должны быть буквой или цифрой. Но можно включать пробелы, дефисы и символы подчеркивания между первым и последним символами.
- Использование списков видео к просмотру должно ограничиваться ссылочными данными, так как они не предназначены для больших объемов данных.
- Общее число активных элементов списка отслеживания для всех списков отслеживания в одной рабочей области в настоящее время ограничено 10 миллионами. Удаленные элементы списка видео к просмотру не учитываются в этом количестве. Если требуется возможность ссылаться на большие объемы данных, рассмотрите возможность их приема с помощью пользовательских журналов.
- Списки наблюдения обновляются в рабочей области каждые
TimeGenerated12 дней, обновляя поле. - Использование Lighthouse для управления списками наблюдения в разных рабочих областях в настоящее время не поддерживается.
- В настоящее время можно отправлять локальные файлы, размер которых не превышает 3,8 МБ.
- В настоящее время из учетной записи службы хранилища Azure можно отправлять файлы (в предварительной версии), размер которых не превышает 500 МБ.
- Списки наблюдения должны соответствовать тем же ограничениям столбца и таблицы, что и сущности KQL. Дополнительные сведения см. в разделе "Имена сущностей KQL".
Параметры создания списков видео к просмотру
Создайте список видео к просмотру в Microsoft Sentinel на основе файла, отправленного из локальной папки или из файла в учетной записи службы хранилища Azure.
Можно скачать один из шаблонов списков видео к просмотру из Microsoft Sentinel и заполнить его данными. Затем отправьте этот файл при создании списка видео к просмотру в Microsoft Sentinel.
Чтобы создать список видео к просмотру из большого файла размером до 500 МБ, отправьте этот файл в учетную запись службы хранилища Azure. Затем создайте подписанный URL-адрес, по которому Microsoft Sentinel сможет получить данные списка видео к просмотру. Подписанный URL-адрес — это универсальный код ресурса (URI), который содержит как URI ресурса, так и токен подписанного URL-адреса ресурса, например CSV-файла в вашей учетной записи хранения. Наконец, добавьте список видео к просмотру в рабочую область Microsoft Sentinel.
Дополнительные сведения см. в следующих статьях:
- Создание списков отслеживания в Microsoft Sentinel
- Встроенные схемы списков видео к просмотру
- Маркер SAS службы хранилища Azure
Списки видео к просмотру в запросах поиска и правилах обнаружения
Вы можете запрашивать данные в любой таблице для данных из списка видео к просмотру, рассматривая список как таблицу для соединений и уточняющих запросов. При создании списка видео к просмотру определяется ключ поиска. Ключ поиска — это имя столбца в списке видео к просмотру, который предполагается использовать в качестве соединения с другими данными или частыми объектами поиска. Например, предположим, что имеется серверный список видео к просмотру, содержащий названия стран и их двухбуквенные коды. Вы ожидаете, что коды стран часто используются для поиска или присоединения. Поэтому вы используете столбец кодов стран в качестве ключа поиска.
В следующем примере запрос присоединяет RemoteIPCountry столбец в Heartbeat таблице с ключом поиска, определенным для списка mywatchlistнаблюдения.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
Давайте рассмотрим ряд других примеров запросов.
Предположим, вы хотите использовать список видео к просмотру в правиле аналитики. Вы создаете список ipwatchlist контрольных значений, содержащий столбцы для IPAddress и Location. Вы определяете IPAddress как SearchKey.
IPAddress,Location |
|---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
Чтобы включать события только с IP-адресов в списке видео к просмотру, можно использовать запрос, в котором список видео к просмотру используется как переменная или в котором он встроен.
В следующем примере запроса список видео к просмотру используется в качестве переменной:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
В следующем примере запроса используются список видео к просмотру, встроенный в запрос, и ключ поиска, определенный для списка видео к просмотру.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
Дополнительные сведения см. в статье Создание запросов или правил обнаружения с помощью списков видео к просмотру в Microsoft Sentinel.
Следующие шаги
Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:
- Создание списков отслеживания
- Создание запросов и правил обнаружения с помощью списков видео к просмотру
- Управление списками видео к просмотру
- Узнайте, как отслеживать свои данные и потенциальные угрозы.
- Узнайте, как приступить к обнаружению угроз с помощью Microsoft Sentinel.
- Используйте книги для мониторинга данных.