我一直在努力寻找最有效(优雅(的解决方案来实现我想要做的事情。我想听听社区的意见,谢谢。
情况:
- 需要对Sentinel上的IP地址记录进行地理富集。示例:成功的SigninLogs,因为MSFT富集有时会生成";未知";导致IP富集图
- 外部引用文件(subnet、country_code、country_name(是公开可用的,但记录的大小和数量相当大。(约12MB,200K以上的记录(
问题:
- 尝试使用存储帐户blob来托管";参考表";,显然达到了存储帐户中最大blob大小的限制
- 使用"externaldata"命令从外部源读取工作簿上最多有30000条记录。因此,只能读取和引用部分参考数据
考虑的选项:
- 将引用表引入日志分析工作区,对该自定义引用表进行联接/查找以进行丰富
- 将SigninLogs表中的IP地址导出到blob存储,使用logicalapps丰富IP地址,然后将其放回"引用"blob存储。然后使用"externaldata"语法读取"reference"blob存储
观察到的限制:
- 意识到Sentinel无法执行API调用以从外部数据进行丰富。(CMIIW(。我已经用Splunk做了类似的事情,我们可以通过调用对外部数据库的多个API调用来动态地丰富数据
- 获取数据-如前所述,获取数据并连接表。不过,你需要定期摄入这些数据,以确保你可以在所需的时间范围内查找数据(例如,如果你有分析规则,那么这只会查找14天的数据(
- 使用行动手册-如果您想要Geo IP查找后事件,您可以使用Logic应用程序执行此操作
- 使用Jupyter笔记本-这可以灵活地对外部位置执行API调用,并将数据连接到Sentinel中托管的数据。一个示例笔记本是IP Explorer笔记本。使用Jupyter笔记本寻找安全威胁
- 威胁情报-Microsoft使用GeoLocation和WhoIs数据丰富了所有导入的威胁情报指标,这些数据与其他指标详细信息一起显示
自2022年3月以来,您可以将大型CSV文件上传到Sentinel Watchlist中。通过这种方式,您可以上传一个完整的GeoIP数据库并执行ipv4_查找。这篇博客文章向您解释了如何做到这一点:https://cryptsus.com/blog/enrich-geolocation-sentinel-siem.html