在 Microsoft Sentinel 中使用觀看清單建置查詢或偵測規則

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

將關注清單視為可供聯結和查閱的資料表,根據關注清單中的資料來查詢任何資料表中的資料。 在建立關注清單時,您會定義 SearchKey。 搜尋索引鍵是您預期作為與其他資料聯結或常用搜尋物件的關注清單中資料行的名稱。

若要獲得最佳查詢效能,請使用 SearchKey 作為查詢中聯結的索引鍵。

重要

Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

使用觀看清單建置查詢

若要在搜尋查詢中使用觀看清單,請撰寫使用 _GetWatchlist('watchlist-name') 函式的 Kusto 查詢,並使用 SearchKey 作為聯結的索引鍵。

  1. 針對 Azure 入口網站的 Microsoft Sentinel,在 [設定] 下方選取 [關注清單].。
    針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[設定]>[關注清單]

  2. 選取您想要使用的觀看清單。

  3. 選取 [記錄中檢視]

    顯示如何在查詢中使用關注清單的螢幕擷取畫面。

  4. 檢閱 [結果] 索引標籤。關注清單中的項目會自動擷取您的查詢。

    下列範例顯示 [名稱] 和 [IP 位址] 欄位的擷取結果。 SearchKey 會顯示為其自己的資料行。

    顯示查詢的螢幕擷取畫面,其中具有關注清單欄位。

    查詢 UI 和排程警示中將會忽略查詢的時間戳記。

  5. 撰寫使用 _GetWatchlist('watchlist-name') 函式的查詢,並使用 SearchKey 作為聯結的索引鍵。

    例如,下列範例查詢會將 Heartbeat 資料表中的 RemoteIPCountry 資料行與針對名為 mywatchlist 的觀看清單所定義的搜尋索引鍵相聯結。

    Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist') 
 on $left.RemoteIPCountry == $right.SearchKey

    下圖顯示 Log Analytics 中此範例查詢的結果。

    螢幕擷取畫面:對照關注清單做為查閱的查詢。

使用觀看清單建立分析規則

若要在分析規則中使用觀看清單,請在查詢中使用 _GetWatchlist('watchlist-name') 函式建立規則。

  1. 在 [設定] 底下,選取 [分析]

  2. 選取 [建立] 和您要建立的規則類型。

  3. 在 [一般] 索引標籤上,輸入適當的資訊。

  4. 在 [設定規則邏輯] 索引標籤的 [規則查詢] 底下,在查詢中使用 _GetWatchlist('<watchlist>') 函式。

    例如,假設您有名為 ipwatchlist 的關注清單,您從具有下列值的 CSV 檔案建立:

    IPAddress,Location
    10.0.100.11,Home
    172.16.107.23,Work
    10.0.150.39,Home
    172.20.32.117,Work

    CSV 檔案看起來像下圖。 螢幕擷取畫面:用於關注清單之 CSV 檔案中的四個項目。

    若要針對此範例使用 _GetWatchlist 函式,您的查詢會是 _GetWatchlist('ipwatchlist')

    顯示查詢從關注清單傳回四個項目的螢幕擷取畫面。

    在此範例中,我們只會在觀看清單中包含來自 IP 位址的事件:

    //Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)

    下列範例查詢以內嵌方式在查詢中使用關注清單,以及為關注清單定義的搜尋索引鍵。

    //Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in ( 
    (_GetWatchlist('ipwatchlist')
    | project SearchKey)
)

    下圖顯示規則查詢中使用的這個最後一個查詢。

    顯示如何在分析規則中使用關注清單的螢幕擷取畫面。

  5. 完成 [分析規則精靈] 中的其餘索引標籤。

關注清單會每隔 12 天在您的工作區中重新整理,並更新 TimeGenerated 欄位。 如需詳細資訊,請參閱建立自訂分析規則以偵測威脅

檢視觀看清單別名的清單

您可能需要查看觀看清單別名的清單,以識別要在查詢或分析規則中使用的觀看清單。

  1. 針對 Azure 入口網站中的 Microsoft Sentinel,在 [一般] 下,選取 [記錄]
    Defender 入口網站中,選取 [調查與回應]>[搜捕]>[進階搜捕]

  2. 在 [新增查詢] 頁面上,執行下列查詢:_GetWatchlistAlias

  3. 在 [結果] 索引標籤中檢閱別名的清單。

    顯示關注清單的螢幕擷取畫面。

相關內容

在本文件中,您已了解如何在 Microsoft Sentinel 中使用觀看清單來擴充資料並改善調查。 若要深入了解 Microsoft Sentinel,請參閱下列文章: