אלי שלמה

עוד יום של סייבר בענן

רשימות מעקב ונתונים Azure Sentinel

by · 17/10/2020

בתחקור אירוע כל פריט מידע הוא חשוב ולכן הנתונים שמוזרמים אל Azure Sentinel הם בעלי ערך, החל מהנתונים שמוזרמים באופן אוטומטי ועד נתונים שמוזרמים או מוזנים באופן ידני.

ישנם תרחישים שונים בהם אנו צריכים להזרים נתונים או סוגי נתונים בצורה ידנית אל Azure Sentinel על מנת לבצע קורלציה מתוך נתונים שאינם מוזרמים באופן אוטומטי.

מהו Watchlists

האפשרות של watchlists בממשק Azure Sentinel מאפשרת לאסוף נתונים ממקורות חיצוניים לצורך התאמה וקורלציה מול נתונים אחרים ושונים וזאת ע"י יצירת רשימות מעקב.

כאשר מייבאים רשימה מסוימת אל watchlists אנו יכולים ליצור פעולות מגוונות על סמך רכיבים נוספים של Azure Sentinel וע"י כך לבצע קורלציה של הנתונים.

הקורלציה של הנתונים נעשית בין רשימות המעקב שהעלינו באופן ידני לבין נתונים אחרים אשר קיימים בממשק Azure Sentinel וע"י כך ניתן לבצע פעולות שונות.

טיפ: ניתן לייבא רשימות מעקב באופן אוטומטי ע"י שילוב עם Azure Logic App 

פעולות מסוימות שניתנות לביצוע הם פעולות על סמך חוקי אנליטיקה מסוימים וביצוע שאילתות מול Log Analytics, למשל, התראה על גישה לדומיין פישינג מתוך שרתי DC's או תחקור של אירוע מסוים עם מזהים מסוימים כדוגמת כתובות IP's.

רשימות מעקב מאפשרות לעבוד עם קבצים מבוססים CSV ולכן אנו יכולים לייבא קובץ CSV אשר מכיל כל נתון שהוא, לדוגמה, כתובות IP, קבצים ושמות קבצים, מאפיינים וערכים של פריטי דואר, מאפייני שרתים, דומיינים, מאפייני DNS, אובייקטים הקשורים אל הענן וכן הלאה.

רשימות מעקב ונתונים שיובאו באמצעות קובץ CSV נרשמים ישירות אל Log Analytics, ולאחר מכן ניתן לעבוד עם הנתונים באמצעות הפונקציות הבאות:

_GetWatchlist
_GetWatchlistAlias

Azure Sentinel watchlists

איך לייבא רשימות מעקב

ייבוא רשימות מעקב באופן ידני בממשק Azure Sentinel נחלקות למספר דרישות ופעולות:

  • לוודא שישנו קובץ CSV מעודכן
  • לייבא קובץ CSV אל Watchlist
  • לוודא שהנתונים יובאו בצורה נכונה וניתנים לקריאה מתוך Log Analytics

בכדי ליצור רשימת מעקב נייבא קובץ CSV של דומיינים המוגדרים כפישינג דומיין מתוך האתר PhishTank (מתוך Developer Information) ונוריד את הקובץ הספציפי של online-valid מתוך הקישור http://data.phishtank.com/data/online-valid.csv

c9e6f screenshot 79

טיפ: מומלץ לעבוד עם קובץ CSV עם עמודות ושורות מיושרות וללא תווים מיוחדים וזאת בכדי לאפשר חיפוש שאילתה בצורה יעילה יותר

לאחר מכן נייבא את הקובץ CSV מתוך ממשק Azure Sentinel ומתוך האפשרויות של Watchlist ולפי הפעולות הבאות:

f1519 screenshot 80 db066 screenshot 81

חשוב מאוד לוודא שהמבנה קובץ CSV תואם למבנה של הטבלה אשר מוצגת במקור הנתונים של Watchlist

5ceb1 screenshot 82 7f827 screenshot 83

8d516 screenshot 84

לאחר שביצענו ייבוא של קובץ CSV עם נתונים אנו יכולים להמשיך ולתשאל הנתונים שעלו אל Log Analytics.

הצגת נתונים באמצעות KQL

ברגע שהרשימות עלו אל Log Analytics אנו יכולים להתחיל ולהריץ שאילתות על גבי הנתונים עם הפונקציות העיקריות של

_GetWatchlist
_GetWatchlistAlias

edcf5 screenshot 85

945d0 screenshot 86

לאחר שיש לנו נתונים מתוך רשימת מעקב אנו יכולים לבצע קורלציה בין הנתונים שהועלו לבין הנתונים הקיימים, למשל, בדיקת URL מתוך רשימת המעקב אל מול URL מתוך הנתונים של OfficeActivity ולפי השאילתה הבאה:

_GetWatchlist('Phish')
| join
(
OfficeActivity
| summarize arg_max(TimeGenerated,*) by Site_Url
) on $left.SiteURL == $right.Url

במצב כזה נוכל לדעת האם משתמש מסוים ביקר בדומיין מתוך רשימת המעקב.

איך ליצור שאילתות עם GetWatchlist ולבצע קורלציה מול טבלאות אחרות במאמר הבא

מאמרים נוספים של אבטחת מידע

Tags:

You may also like...

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *