Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
As listas de observação no Microsoft Sentinel ajudam os analistas de segurança a correlacionar e enriquecer dados de eventos de forma eficiente. Eles oferecem uma maneira flexível de gerenciar dados de referência, como listas de ativos de alto valor ou funcionários demitidos. Integre listas de observação em suas regras de deteção, caça a ameaças e fluxos de trabalho de resposta para reduzir a fadiga de alertas e responder a ameaças mais rapidamente. Este artigo explica como usar listas de observação no Microsoft Sentinel, descreve os principais cenários e limitações e fornece orientação sobre como criar e consultar listas de observação para aprimorar suas operações de segurança.
Use listas de observação em sua pesquisa, regras de deteção, caça a ameaças e playbooks de resposta. As listas de observação são armazenadas como pares nome-valor na tabela Watchlist no espaço de trabalho do Microsoft Sentinel. Eles são armazenados em cache para um desempenho de consulta ideal e baixa latência.
Importante
Os recursos para modelos de lista de observação e a capacidade de criar uma lista de observação a partir de um arquivo no Armazenamento do Azure estão atualmente em VISUALIZAÇÃO. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Quando usar listas de observação
Use listas de observação nestes cenários:
Investigue ameaças e responda a incidentes rapidamente importando endereços IP, hashes de arquivos e outros dados de arquivos CSV. Depois de importar os dados, utilize pares nome-valor da lista de observação para associações e filtros em regras de alerta, investigação de ameaças, pastas de trabalho, blocos de anotações e consultas.
Importe dados corporativos como uma lista de observação. Por exemplo, importe listas de usuários com acesso privilegiado ao sistema ou listas de funcionários demitidos. Em seguida, use a lista de observação para criar listas de permissões e listas de bloqueio para detetar ou impedir que esses usuários entrem na rede.
Reduza a fadiga de alerta. Crie listas de permissões para suprimir alertas de um grupo de usuários, como usuários de endereços IP autorizados que executam tarefas que normalmente disparariam o alerta. Evitar que eventos benignos se tornem alertas.
Enriqueça os dados do evento. Use listas de observação para adicionar combinações nome-valor de fontes de dados externas aos dados do seu evento.
Limitações da lista de observação
Recomendamos rever as seguintes limitações antes de criar listas de observação:
| Limitação | Detalhes |
|---|---|
| Nome da lista de observação e comprimento do alias | Os nomes e aliases da lista de observação devem ter entre 3 e 64 caracteres. Os primeiros e últimos caracteres devem ser alfanuméricos; são permitidos espaços, traços e sublinhados entre eles. |
| Utilização prevista | Use listas de observação apenas para dados de referência. As listas de observação não foram concebidas para grandes volumes de dados. |
| Máximo de itens ativos da lista de observação | Você pode ter um máximo de 10 milhões de itens ativos da lista de observação em todas as listas de observação em um espaço de trabalho. Os itens eliminados não contam. Para volumes maiores, use logs personalizados. |
| Retenção de dados | Os dados na tabela Log Analytics Watchlist são retidos por 28 dias. |
| Intervalo de atualização | As listas de observação são atualizadas a cada 12 dias, atualizando o TimeGenerated campo. |
| Gerenciamento entre espaços de trabalho | Não há suporte para o gerenciamento de listas de observação entre espaços de trabalho usando o Azure Lighthouse. |
| Tamanho do carregamento do arquivo local | Os carregamentos de ficheiros locais estão limitados a ficheiros até 3,8 MB. |
| Tamanho do carregamento do ficheiro de Armazenamento do Azure (pré-visualização) | Os carregamentos do Armazenamento do Azure estão limitados a ficheiros de até 500 MB. |
| Restrições de colunas e tabelas | As listas de observação devem seguir as restrições de nomenclatura de entidades KQL relativamente a colunas e nomes. |
Métodos de criação da lista de observação do Microsoft Sentinel
Use um dos seguintes métodos para criar listas de observação no Microsoft Sentinel:
Carregar um ficheiro a partir de uma pasta local ou da sua conta de Armazenamento do Azure.
Transfira um modelo de lista de observação a partir do Microsoft Sentinel, adicione os seus dados e, em seguida, carregue o ficheiro quando criar a lista de observação.
Para criar uma lista de observação a partir de um ficheiro grande (até 500 MB), carregue o ficheiro para a sua conta de Armazenamento do Azure. Crie uma URL de assinatura de acesso compartilhado (SAS) para que o Microsoft Sentinel possa recuperar os dados da lista de observação. Uma URL SAS inclui o URI do recurso e o token SAS de um recurso, como um arquivo CSV em sua conta de armazenamento. Adicione a lista de observação ao seu espaço de trabalho no Microsoft Sentinel.
Para obter mais informações, consulte:
- Criar listas de observação no Microsoft Sentinel
- Esquemas de lista de observação integrados
- Token SAS do Armazenamento do Azure
Listas de observação em consultas para pesquisas e regras de deteção
Para correlacionar os dados da sua lista de observação com outros dados do Microsoft Sentinel, use operadores tabulares Kusto como join e lookup com a Watchlist tabela. O Microsoft Sentinel cria as seguintes funções no espaço de trabalho para ajudar a referenciar e consultar suas listas de observação:
-
_GetWatchlistAlias- retorna os aliases de todas as suas listas de observação -
_GetWatchlist- consulta os pares nome-valor da lista de observação especificada
Ao criar uma lista de observação, você define a SearchKey. A chave de pesquisa é o nome de uma coluna na sua lista de observação que você espera usar como uma junção com outros dados ou como um objeto frequente de pesquisas. Por exemplo, suponha que você tenha uma lista de observação do servidor que contenha nomes de países/regiões e seus respetivos códigos de país de duas letras. Espera utilizar frequentemente os códigos de país para pesquisas ou participações. Assim, você usa a coluna do código do país como a chave de pesquisa.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
Vejamos alguns outros exemplos de consultas.
Suponha que você queira usar uma lista de observação em uma regra de análise. Você cria uma lista de observação chamada ipwatchlist com colunas para IPAddress e Location. Você define IPAddress como a SearchKey.
IPAddress,Location |
|---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
Para incluir apenas eventos de endereços IP na lista de observação, você pode usar uma consulta onde watchlist é usado como uma variável ou embutida.
Este exemplo de consulta usa a lista de observação como uma variável:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
Este exemplo de consulta usa a lista de observação de forma integrada com a consulta e a chave de pesquisa definida para ela.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
Para obter mais informações, consulte Criar consultas e regras de deteção com listas de observação no Microsoft Sentinel e os seguintes artigos na documentação do Kusto:
Para obter mais informações sobre o KQL, consulte Visão geral da Kusto Query Language (KQL).
Outros recursos:
Conteúdo relacionado
Para obter mais informações, consulte: