רשימות מעקב ונתונים Azure Sentinel

בתחקור אירוע כל פריט מידע הוא חשוב ולכן הנתונים שמוזרמים אל Azure Sentinel הם בעלי ערך, החל מהנתונים שמוזרמים באופן אוטומטי ועד נתונים שמוזרמים או מוזנים באופן ידני.

ישנם תרחישים שונים בהם אנו צריכים להזרים נתונים או סוגי נתונים בצורה ידנית אל Azure Sentinel על מנת לבצע קורלציה מתוך נתונים שאינם מוזרמים באופן אוטומטי.

מהו Watchlists

האפשרות של watchlists בממשק Azure Sentinel מאפשרת לאסוף נתונים ממקורות חיצוניים לצורך התאמה וקורלציה מול נתונים אחרים ושונים וזאת ע"י יצירת רשימות מעקב.

כאשר מייבאים רשימה מסוימת אל watchlists אנו יכולים ליצור פעולות מגוונות על סמך רכיבים נוספים של Azure Sentinel וע"י כך לבצע קורלציה של הנתונים.

הקורלציה של הנתונים נעשית בין רשימות המעקב שהעלינו באופן ידני לבין נתונים אחרים אשר קיימים בממשק Azure Sentinel וע"י כך ניתן לבצע פעולות שונות.

טיפ: ניתן לייבא רשימות מעקב באופן אוטומטי ע"י שילוב עם Azure Logic App 

פעולות מסוימות שניתנות לביצוע הם פעולות על סמך חוקי אנליטיקה מסוימים וביצוע שאילתות מול Log Analytics, למשל, התראה על גישה לדומיין פישינג מתוך שרתי DC's או תחקור של אירוע מסוים עם מזהים מסוימים כדוגמת כתובות IP's.

רשימות מעקב מאפשרות לעבוד עם קבצים מבוססים CSV ולכן אנו יכולים לייבא קובץ CSV אשר מכיל כל נתון שהוא, לדוגמה, כתובות IP, קבצים ושמות קבצים, מאפיינים וערכים של פריטי דואר, מאפייני שרתים, דומיינים, מאפייני DNS, אובייקטים הקשורים אל הענן וכן הלאה.

רשימות מעקב ונתונים שיובאו באמצעות קובץ CSV נרשמים ישירות אל Log Analytics, ולאחר מכן ניתן לעבוד עם הנתונים באמצעות הפונקציות הבאות:

_GetWatchlist
_GetWatchlistAlias

איך לייבא רשימות מעקב

ייבוא רשימות מעקב באופן ידני בממשק Azure Sentinel נחלקות למספר דרישות ופעולות:

  • לוודא שישנו קובץ CSV מעודכן
  • לייבא קובץ CSV אל Watchlist
  • לוודא שהנתונים יובאו בצורה נכונה וניתנים לקריאה מתוך Log Analytics

בכדי ליצור רשימת מעקב נייבא קובץ CSV של דומיינים המוגדרים כפישינג דומיין מתוך האתר PhishTank (מתוך Developer Information) ונוריד את הקובץ הספציפי של online-valid מתוך הקישור http://data.phishtank.com/data/online-valid.csv

טיפ: מומלץ לעבוד עם קובץ CSV עם עמודות ושורות מיושרות וללא תווים מיוחדים וזאת בכדי לאפשר חיפוש שאילתה בצורה יעילה יותר

לאחר מכן נייבא את הקובץ CSV מתוך ממשק Azure Sentinel ומתוך האפשרויות של Watchlist ולפי הפעולות הבאות:

חשוב מאוד לוודא שהמבנה קובץ CSV תואם למבנה של הטבלה אשר מוצגת במקור הנתונים של Watchlist

לאחר שביצענו ייבוא של קובץ CSV עם נתונים אנו יכולים להמשיך ולתשאל הנתונים שעלו אל Log Analytics.

הצגת נתונים באמצעות KQL

ברגע שהרשימות עלו אל Log Analytics אנו יכולים להתחיל ולהריץ שאילתות על גבי הנתונים עם הפונקציות העיקריות של

_GetWatchlist
_GetWatchlistAlias

לאחר שיש לנו נתונים מתוך רשימת מעקב אנו יכולים לבצע קורלציה בין הנתונים שהועלו לבין הנתונים הקיימים, למשל, בדיקת URL מתוך רשימת המעקב אל מול URL מתוך הנתונים של OfficeActivity ולפי השאילתה הבאה:

_GetWatchlist('Phish')
| join
(
OfficeActivity
| summarize arg_max(TimeGenerated,*) by Site_Url
) on $left.SiteURL == $right.Url

במצב כזה נוכל לדעת האם משתמש מסוים ביקר בדומיין מתוך רשימת המעקב.

איך ליצור שאילתות עם GetWatchlist ולבצע קורלציה מול טבלאות אחרות במאמר הבא

מה דעתך?

אתר זה עושה שימוש באקיזמט למניעת הודעות זבל. לחצו כאן כדי ללמוד איך נתוני התגובה שלכם מעובדים.