Microsoft Sentinel 中的播放列表

利用 Microsoft Sentinel 中的监视列表,可以将你提供的数据源中的数据与 Microsoft Sentinel 环境中的事件相关联。 例如,可以创建一个监视列表,其中列出了环境中的高价值资产、离职员工或服务帐户。

在搜索、检测规则、威胁搜寻和响应 playbook 中使用监视列表。

监视列表在 Microsoft Sentinel 工作区中存储为名称值对,并进行缓存以提供最佳查询性能和低延迟。

重要

监视列表模板的功能以及从 Azure 存储中的文件创建监视列表的功能目前为预览版。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

何时使用监视列表

使用监视列表来帮助你处理以下方案:

  • 通过从 CSV 文件快速导入 IP 地址、文件哈希和其他数据,调查威胁并迅速响应事件。 导入数据后,在警报规则、威胁搜寻、工作簿、笔记本和常规查询中使用监视列表名称值对进行联接和筛选。

  • 导入业务数据用作监视列表。 例如,导入具有特权系统访问权限的用户列表或离职员工。 然后,使用监视列表创建允许列表和阻止列表,以检测或阻止这些用户登录到网络。

  • 缓解警报疲劳。 创建允许列表可抑制一组用户的警报,例如授权 IP 地址中的用户执行通常会触发警报的任务。 防止良性事件成为警报。

  • 扩充事件数据。 使用监视列表可通过派生自外部数据源的名称/值对组合来扩充事件数据。

监视列表的限制

创建监视列表之前,请注意以下限制:

  • 创建监视列表时,监视列表名称和别名必须在 3 到 64 个字符之间。 第一个字符和最后一个字符必须必须为字母数字字符。 但是,可以在第一个字符和最后一个字符之间包括空格、连字符和下划线。
  • 应限于对引用数据使用监视列表,因为它们不是针对大型数据卷设计的。
  • 单个工作区中所有监视列表中的“活动监视列表项总数”当前限制为 1 千万个。 已删除的监视列表项不会算在此总数内。 如果你需要引用大型数据卷的功能,请考虑改用自定义日志引入它们。
  • 工作区中的监视列表每 12 天刷新一次,更新 TimeGenerated 字段。
  • 目前不支持使用 Lighthouse 管理不同工作区的监视列表。
  • 上传的本地文件大小目前限制为最大 3.8 MB。
  • 目前,从 Azure 存储帐户上传文件(预览版)的最大文件大小限制为 500 MB。
  • 监视列表必须遵循与 KQL 实体相同的列和表限制。 有关详细信息,请参阅 KQL 实体名称

用于创建监视列表的选项

利用从本地文件夹上传的文件,或者,利用 Azure 存储帐户中的文件,在 Microsoft Sentinel 中创建监视列表。

你可以选择从 Microsoft Sentinel 下载一个监视列表模板,以用于在其中填充你的数据。 然后在 Microsoft Sentinel 中创建监视列表时上传该文件。

若要从大小高达 500 MB 的大文件创建监视列表,请将该文件上传到 Azure 存储帐户。 然后,为 Microsoft Sentinel 创建一个共享访问签名 URL,用于检索监视列表数据。 共享访问签名 URL 是一个 URI,包含一项资源(如存储帐户中的 csv 文件)的资源 URI 和共享访问签名令牌。 最后,将监视列表添加到 Microsoft Sentinel 中的工作区。

有关详细信息,请参阅以下文章:

搜索和检测规则的查询中的监视列表

将监视列表视为可供联接和查找的表,根据监视列表中的数据查询任何表中的数据。 创建监视列表时,定义 SearchKey。 搜索键是监视列表中你希望用作与其他数据的联接或用作常见搜索对象的列的名称。 例如,假设你有一个服务器监视列表,其中包含国家/地区名称及其各自的两字母国家/地区代码。 你预计会经常使用国家/地区代码来进行搜索或联接。 因此,使用国家/地区代码列作为搜索关键字。

以下示例查询将 Heartbeat 表中的 RemoteIPCountry 列与为名为 mywatchlist 的监视列表定义的搜索关键字联接。

   Heartbeat
  | lookup kind=leftouter _GetWatchlist('mywatchlist') 
   on $left.RemoteIPCountry == $right.SearchKey

让我们看一些其他示例查询。

假设你想要在分析规则中使用监视列表。 创建一个名为 ipwatchlist 的监视列表,其中包含 IPAddressLocation 的列。 将 IPAddress 定义为 SearchKey。

IPAddress,Location
10.0.100.11,Home
172.16.107.23,Work
10.0.150.39,Home
172.20.32.117,Work

若要在监视列表中仅包含来自 IP 地址的事件,可以使用查询,其中监视列表用作变量,或者内联使用监视列表。

以下示例查询使用监视列表作为变量:

  //Watchlist as a variable
  let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
  Heartbeat
  | where ComputerIP in (watchlist)

下面的示例查询将监视列表与查询和为监视列表定义的搜索关键字内联使用。

  //Watchlist inline with the query
  //Use SearchKey for the best performance
  Heartbeat
  | where ComputerIP in ( 
      (_GetWatchlist('ipwatchlist')
      | project SearchKey)
  )

有关详细信息,请参阅使用 Microsoft Sentinel 中的监视列表生成查询和检测规则

后续步骤

若要详细了解 Microsoft Sentinel,请参阅以下文章: