Tworzenie list do obejrzenia w usłudze Microsoft Sentinel

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Listy do obejrzenia w usłudze Microsoft Sentinel umożliwiają skorelowanie danych ze źródła danych, które udostępniasz zdarzenia w środowisku usługi Microsoft Sentinel. Możesz na przykład utworzyć listę do obejrzenia z listą zasobów o wysokiej wartości, zakończonymi pracownikami lub kontami usług w danym środowisku.

Przekaż plik listy obserwowanych z folderu lokalnego lub z konta usługi Azure Storage. Aby utworzyć plik listy obserwowanych, możesz pobrać jeden z szablonów listy obserwowanych z usługi Microsoft Sentinel w celu wypełnienia ich danymi. Następnie przekaż ten plik podczas tworzenia listy do obejrzenia w usłudze Microsoft Sentinel.

Przekazywanie plików lokalnych jest obecnie ograniczone do plików o rozmiarze do 3,8 MB. Plik o rozmiarze ponad 3,8 MB i do 500 MB jest uważany za dużą listę do obejrzenia. Przekaż plik do konta usługi Azure Storage. Przed utworzeniem listy do obejrzenia zapoznaj się z ograniczeniami list do obejrzenia.

Ważne

Funkcje szablonów listy obserwowanych i możliwość tworzenia listy obserwowanych na podstawie pliku w usłudze Azure Storage są obecnie dostępne w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Przekazywanie listy obserwowanych z folderu lokalnego

Istnieją dwa sposoby przekazywania pliku CSV z komputera lokalnego w celu utworzenia listy do obejrzenia.

  • W przypadku pliku listy obserwowanych utworzonego bez szablonu listy obserwowanych: wybierz pozycję Dodaj nowy i wprowadź wymagane informacje.
  • W przypadku pliku listy do obejrzenia utworzonego na podstawie szablonu pobranego z usługi Microsoft Sentinel: przejdź do karty Szablony listy obserwowanych (wersja zapoznawcza). Wybierz opcję Utwórz na podstawie szablonu. Platforma Azure wstępnie wypełnia nazwę, opis i alias listy obserwowanych.

Przekaż listę obserwowanych z utworzonego pliku

Jeśli do utworzenia pliku nie użyto szablonu listy do obejrzenia,

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Konfiguracja wybierz pozycję Lista obserwowana.
    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Lista obserwowanych konfiguracji>usługi Microsoft Sentinel.>

  2. Wybierz + Nowy.

  3. Na stronie Ogólne podaj nazwę, opis i alias dla listy obserwowanych.

    Zrzut ekranu przedstawiający kartę ogólne listy obserwowanych w kreatorze listy obserwowanych.

  4. Wybierz pozycję Dalej: Źródło.

  5. Skorzystaj z informacji w poniższej tabeli, aby przekazać dane listy obserwowanych.

    Pole opis
    Wybierz typ zestawu danych Plik CSV z nagłówkiem (.csv)
    Liczba wierszy przed wierszem z nagłówkami Wprowadź liczbę wierszy przed wierszem nagłówka, który znajduje się w pliku danych.
    Przekaż plik Przeciągnij i upuść plik danych lub wybierz pozycję Przeglądaj w poszukiwaniu plików i wybierz plik do przekazania.
    Klucz wyszukiwania Wprowadź nazwę kolumny na liście obserwowanych, która ma być używana jako sprzężenie z innymi danymi lub częstym obiektem wyszukiwania. Jeśli na przykład lista kontrolna serwera zawiera nazwy krajów i odpowiednie dwuliterowe kody kraju i oczekujesz, że kody kraju często będą używane do wyszukiwania lub sprzężenia, użyj kolumny Kod jako klucza wyszukiwania.

    Uwaga

    Jeśli plik CSV jest większy niż 3,8 MB, należy użyć instrukcji dotyczących tworzenia dużej listy kontrolnej z pliku w usłudze Azure Storage.

  6. Wybierz pozycję Dalej: Przejrzyj i utwórz.

    Zrzut ekranu przedstawiający kartę źródłową listy obserwowanych.

  7. Przejrzyj informacje, sprawdź, czy jest ona poprawna, poczekaj na komunikat Walidacja przekazana , a następnie wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający stronę przeglądu listy obserwowanych.

    Po utworzeniu listy do obejrzenia zostanie wyświetlone powiadomienie.

Utworzenie listy do obejrzenia i udostępnienie nowych danych w zapytaniach może potrwać kilka minut.

Przekazywanie listy do obejrzenia utworzonej na podstawie szablonu (wersja zapoznawcza)

Aby utworzyć listę obserwowanych na podstawie wypełnionego szablonu,

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Konfiguracja wybierz pozycję Lista obserwowana.
    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Lista obserwowanych konfiguracji>usługi Microsoft Sentinel.>

  2. Wybierz kartę Szablony (wersja zapoznawcza).

  3. Wybierz odpowiedni szablon z listy, aby wyświetlić szczegóły szablonu w okienku po prawej stronie.

  4. Wybierz pozycję Utwórz na podstawie szablonu.

    Zrzut ekranu przedstawiający opcję utworzenia listy do obejrzenia na podstawie wbudowanego szablonu.

  5. Na karcie Ogólne zwróć uwagę, że pola Nazwa, Opis i Alias listy obserwowanych są tylko do odczytu.

  6. Na karcie Źródło wybierz pozycję Przeglądaj dla plików i wybierz plik utworzony na podstawie szablonu.

  7. Wybierz pozycję Dalej: Przejrzyj i utwórz.>

  8. Poszukaj powiadomienia platformy Azure, które ma być wyświetlane po utworzeniu listy do obejrzenia.

Utworzenie listy do obejrzenia i udostępnienie nowych danych w zapytaniach może potrwać kilka minut.

Tworzenie dużej listy obserwowanych na podstawie pliku w usłudze Azure Storage (wersja zapoznawcza)

Jeśli masz dużą listę obserwowanych o rozmiarze do 500 MB, przekaż plik listy do obejrzenia na konto usługi Azure Storage. Następnie utwórz adres URL sygnatury dostępu współdzielonego dla usługi Microsoft Sentinel, aby pobrać dane listy obserwowanych. Adres URL sygnatury dostępu współdzielonego to identyfikator URI, który zawiera zarówno identyfikator URI zasobu, jak i token sygnatury dostępu współdzielonego zasobu, taki jak plik CSV na koncie magazynu. Na koniec dodaj listę obserwowanych do obszaru roboczego w usłudze Microsoft Sentinel.

Aby uzyskać więcej informacji na temat sygnatur dostępu współdzielonego, zobacz Token sygnatury dostępu współdzielonego usługi Azure Storage.

Krok 1. Przekazywanie pliku listy obserwowanych do usługi Azure Storage

Aby przekazać duży plik listy do obejrzenia na konto usługi Azure Storage, użyj narzędzia AzCopy lub witryny Azure Portal.

  1. Jeśli nie masz jeszcze konta usługi Azure Storage, utwórz konto magazynu. Konto magazynu może znajdować się w innej grupie zasobów lub regionie z obszaru roboczego w usłudze Microsoft Sentinel.
  2. Użyj narzędzia AzCopy lub witryny Azure Portal, aby przekazać plik csv z danymi listy obserwowanych do konta magazynu.

Przekazywanie pliku za pomocą narzędzia AzCopy

Przekaż pliki i katalogi do usługi Blob Storage przy użyciu narzędzia wiersza polecenia AzCopy w wersji 10. Aby dowiedzieć się więcej, zobacz Przekazywanie plików do usługi Azure Blob Storage przy użyciu narzędzia AzCopy.

  1. Jeśli nie masz jeszcze kontenera magazynu, utwórz go, uruchamiając następujące polecenie.

    azcopy make 
https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>

  2. Następnie uruchom następujące polecenie, aby przekazać plik.

    azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'

Przekazywanie pliku w witrynie Azure Portal

Jeśli nie używasz narzędzia AzCopy, przekaż plik przy użyciu witryny Azure Portal. Przejdź do konta magazynu w witrynie Azure Portal, aby przekazać plik csv z danymi listy obserwowanych.

  1. Jeśli nie masz jeszcze istniejącego kontenera magazynu, utwórz kontener. W przypadku poziomu publicznego dostępu do kontenera zalecamy ustawienie domyślne, czyli ustawienie poziomu na Prywatny (bez dostępu anonimowego).
  2. Przekaż plik CSV na konto magazynu, przekazując blokowy obiekt blob.

Krok 2. Tworzenie adresu URL sygnatury dostępu współdzielonego

Utwórz adres URL sygnatury dostępu współdzielonego dla usługi Microsoft Sentinel, aby pobrać dane listy obserwowanych.

  1. Wykonaj kroki opisane w artykule Tworzenie tokenów SAS dla obiektów blob w witrynie Azure Portal.
  2. Ustaw czas wygaśnięcia tokenu sygnatury dostępu współdzielonego na co najmniej 6 godzin.
  3. Zachowaj wartość domyślną dozwolonych adresów IP jako pustą.
  4. Skopiuj wartość adresu URL sygnatury dostępu współdzielonego obiektu blob.

Krok 3. Dodawanie platformy Azure do karty CORS

Przed użyciem identyfikatora URI sygnatury dostępu współdzielonego dodaj witrynę Azure Portal do współużytkowania zasobów między źródłami (CORS).

  1. Przejdź do ustawień konta magazynu, strony Udostępnianie zasobów.
  2. Wybierz kartę Blob Service .
  3. Dodaj https://*.portal.azure.net do tabeli dozwolonych źródeł.
  4. Wybierz odpowiednie dozwolone metody i GETOPTIONS.
  5. Zapisz konfigurację.

Aby uzyskać więcej informacji, zobacz Obsługa mechanizmu CORS dla usługi Azure Storage.

Krok 4. Dodawanie listy obserwowanych do obszaru roboczego

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Konfiguracja wybierz pozycję Lista obserwowana.
    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Lista obserwowanych konfiguracji>usługi Microsoft Sentinel.>

  2. Wybierz + Nowy.

    Zrzut ekranu przedstawiający dodawanie listy do obejrzenia na stronie listy obserwowanych.

  3. Na stronie Ogólne podaj nazwę, opis i alias dla listy obserwowanych.

    Zrzut ekranu przedstawiający kartę ogólne listy obserwowanych z polami aliasu nazwy, opisu i listy obserwowanych.

  4. Wybierz pozycję Dalej: Źródło.

  5. Skorzystaj z informacji w poniższej tabeli, aby przekazać dane listy obserwowanych.

    Pole opis
    Source type Azure Storage (wersja zapoznawcza)
    Wybierz typ zestawu danych Plik CSV z nagłówkiem (.csv)
    Liczba wierszy przed wierszem z nagłówkami Wprowadź liczbę wierszy przed wierszem nagłówka, który znajduje się w pliku danych.
    Adres URL sygnatury dostępu współdzielonego obiektu blob (wersja zapoznawcza) Wklej utworzony adres URL dostępu współdzielonego.
    Klucz wyszukiwania Wprowadź nazwę kolumny na liście obserwowanych, która ma być używana jako sprzężenie z innymi danymi lub częstym obiektem wyszukiwania. Jeśli na przykład lista kontrolna serwera zawiera nazwy krajów i odpowiednie dwuliterowe kody kraju i oczekujesz, że kody kraju często będą używane do wyszukiwania lub sprzężenia, użyj kolumny Kod jako klucza wyszukiwania.

    Po wprowadzeniu wszystkich informacji strona będzie wyglądać podobnie jak na poniższej ilustracji.

    Zrzut ekranu przedstawiający stronę źródłową listy obserwowanych z wprowadzonymi przykładowymi wartościami.

  6. Wybierz pozycję Dalej: Przejrzyj i utwórz.

  7. Przejrzyj informacje, sprawdź, czy jest ona poprawna, poczekaj na komunikat Walidacja przekazana .

  8. Wybierz pozycję Utwórz.

Utworzenie dużej listy do obejrzenia i udostępnienie nowych danych w zapytaniach może zająć trochę czasu.

Wyświetlanie stanu listy obserwowanych

Wyświetl stan, wybierając listę obserwowanych w obszarze roboczym.

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Konfiguracja wybierz pozycję Lista obserwowana.
    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Lista obserwowanych konfiguracji>usługi Microsoft Sentinel.>

  2. Na karcie Moje listy do obejrzenia wybierz listę obserwowanych.

  3. Na stronie szczegółów przejrzyj stan (wersja zapoznawcza).

    Zrzut ekranu przedstawiający stan przekazywania na liście obserwowanych.

  4. Gdy stan to Powodzenie, wybierz pozycję Wyświetl w usłudze Log Analytics , aby użyć listy kontrolnej w zapytaniu. Wyświetlenie listy do obejrzenia w usłudze Log Analytics może potrwać kilka minut.

    Zrzut ekranu

Pobieranie szablonu listy do obejrzenia (wersja zapoznawcza)

Pobierz jeden z szablonów listy obserwowanych z usługi Microsoft Sentinel, aby wypełnić dane. Następnie przekaż ten plik podczas tworzenia listy do obejrzenia w usłudze Microsoft Sentinel.

Każdy wbudowany szablon listy obserwowanych ma własny zestaw danych wymienionych w pliku CSV dołączonym do szablonu. Aby uzyskać więcej informacji, zobacz Wbudowane schematy listy obserwowanych.

Aby pobrać jeden z szablonów listy obserwowanych,

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Konfiguracja wybierz pozycję Lista obserwowana.
    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Lista obserwowanych konfiguracji>usługi Microsoft Sentinel.>

  2. Wybierz kartę Szablony (wersja zapoznawcza).

  3. Wybierz szablon z listy, aby wyświetlić szczegóły szablonu w okienku po prawej stronie.

  4. Wybierz wielokropek ... na końcu wiersza.

  5. Wybierz pozycję Pobierz schemat.

    Zrzut ekranu przedstawiający kartę szablonów z wybranym schematem pobierania.

  6. Wypełnij lokalną wersję pliku i zapisz go lokalnie jako plik CSV.

  7. Postępuj zgodnie z instrukcjami, aby przekazać listę do obejrzenia utworzoną na podstawie szablonu (wersja zapoznawcza).

Usunięte i ponownie tworzone listy obserwowanych w widoku usługi Log Analytics

Jeśli usuniesz i ponownie utworzysz listę do obejrzenia, możesz zobaczyć zarówno usunięte, jak i ponownie utworzone wpisy w usłudze Log Analytics w ramach pięciominutowej umowy SLA na potrzeby pozyskiwania danych. Jeśli te wpisy są widoczne razem w usłudze Log Analytics przez dłuższy czas, prześlij bilet pomocy technicznej.

Powiązana zawartość

Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły: