0

我一直在努力寻找最有效(优雅)的解决方案来实现我想要做的事情。我想听听社区的意见,谢谢。

情况:

  • 需要在 Sentinel 上丰富 IP 地址记录。示例:成功的 SigninLogs,因为 MSFT 扩充有时会在 IP 扩充映射中生成“未知”结果。
  • 外部参考文件(子网、国家代码、国家名称)是公开的,但是记录的大小和数量相当大。(~12MB,200K+记录)。

问题:

  • 尝试使用存储帐户 blob 托管“参考表”,显然达到了最大限制。存储帐户中的 blob 大小。
  • 看起来有最大值。使用“externaldata”命令从外部源读取工作簿上的 30.000 条记录。因此,只能读取和参考部分参考数据。

考虑的选项:

  1. 将参考表提取到日志分析工作区,对此自定义参考表进行联接/查找以进行丰富
  2. 将 SigninLogs 表中的 IP 地址导出到 blob 存储,使用 logicapps 丰富 IP 地址,然后将其放回“参考”blob 存储。然后使用“externaldata”语法读取“参考”blob 存储。

观察到的限制:

  • 意识到 Sentinel 无法执行 API 调用以丰富外部数据。(CMIIW)。我用 Splunk 做过类似的事情,我们可以通过调用对外部数据库的多个 API 调用来动态丰富数据。
4

1 回答 1

1
  1. 摄取数据- 正如您所提到的,摄取数据并加入表。不过,您需要定期获取此信息,以确保您可以在所需的时间范围内查找数据(例如,如果您有一个分析规则,那么这只会查找 14 天的数据)。
  2. 使用剧本- 如果您想要 Geo-IP 查找帖子事件,您可以使用逻辑应用程序执行此操作
  3. 使用 Jupyter Notebooks - 这可以灵活地对外部位置执行 API 调用,并将数据加入 Sentinel 中托管的数据。一个示例笔记本是IP Explorer Notebook使用 Jupyter 笔记本寻找安全威胁
  4. 威胁情报- Microsoft 使用GeoLocation 和 WhoIs 数据丰富了所有导入的威胁情报指标,这些数据与其他指标详细信息一起显示。
于 2021-12-07T11:12:36.127 回答