Créer des watchlists dans Microsoft Sentinel
Les watchlists dans Microsoft Sentinel vous permettent de mettre en corrélation les données d’une source de données que vous fournissez avec les événements de votre environnement Microsoft Sentinel. Par exemple, vous pouvez créer une watchlist avec une liste des ressources de grande valeur, des employés licenciés ou des comptes de service dans votre environnement.
Chargez un fichier Watchlist à partir d’un dossier local ou de votre compte Stockage Azure. Pour créer un fichier Watchlist, vous avez la possibilité de télécharger l’un des modèles de Watchlist à partir de Microsoft Sentinel en vue de le remplir avec vos données. Ensuite, chargez ce fichier quand vous créez la watchlist dans Microsoft Sentinel.
Les chargements de fichiers locaux sont limités à des fichiers d’une taille maximale de 3,8 Mo. Un fichier dont la taille est comprise entre 3,8 Mo et 500 Mo est considéré comme une watchlist volumineuse. Chargez le fichier dans un compte de stockage Azure. Avant de créer une watchlist, passez en revue les limitations des watchlists.
Important
Les fonctionnalités pour les modèles de Watchlist et la capacité à créer une Watchlist à partir d’un fichier dans Stockage Azure sont disponibles en préversion. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.
Microsoft Sentinel est en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft dans le portail Microsoft Defender. Pour la préversion, Microsoft Sentinel est disponible dans le portail Defender sans licence Microsoft Defender XDR ou E5. Si vous souhaitez en savoir plus, veuillez consulter la rubrique Microsoft Sentinel dans le portail Microsoft Defender.
Charger une Watchlist à partir d’un dossier local
Deux possibilités s’offrent à vous pour charger un fichier CSV à partir de votre machine locale afin de créer une Watchlist.
- Pour un fichier Watchlist que vous avez créé sans modèle de Watchlist : sélectionnez Ajouter nouveau, puis entrez les informations requises.
- Pour un fichier Watchlist créé à partir d’un modèle téléchargé à partir de Microsoft Sentinel : accédez à l’onglet Modèles (préversion) de Watchlist. Sélectionnez l’option Créer à partir d’un modèle. Azure pré-remplit le nom, la description et l’alias de Watchlist pour vous.
Charger une Watchlist à partir d’un fichier que vous avez créé
Si vous n’avez pas utilisé de modèle de Watchlist pour créer votre fichier :
Pour Microsoft Sentinel dans le Portail Microsoft Azure, sous Configuration, sélectionnez Watchlist.
Pour Microsoft Sentinel dans le Portail Defender, sélectionnez Microsoft Sentinel>Configuration>Watchlist.Cliquez sur + Nouveau.
Dans la page Général, indiquez le nom, la description et l’alias de la watchlist.
Sélectionnez Suivant : Source.
Utilisez les informations du tableau suivant pour charger vos données de watchlist.
Champ Description Sélectionner un type pour le jeu de données Fichier CSV avec un en-tête (.csv) Nombre de lignes avant la ligne avec les en-têtes Entrez le nombre de lignes avant la ligne d’en-tête qui se trouve dans votre fichier de données. Charger le fichier Faites un glisser-déposer de votre fichier de données, ou sélectionnez Parcourir les fichiers et sélectionnez le fichier à charger. Clé de recherche Entrez le nom d’une colonne de votre watchlist que vous voulez utiliser comme jointure avec d’autres données ou un objet de recherche fréquent. Par exemple, si votre serveur Watchlist contient des noms de pays/région et leurs codes de pays respectifs à deux lettres et que vous prévoyez d’utiliser souvent les codes de pays pour la recherche ou les jointures, utilisez la colonne Code en tant que SearchKey. Remarque
Si votre fichier CSV est supérieur à 3,8 Mo, vous devez utiliser les instructions pour Créer une watchlist volumineuse à partir d’un fichier dans Stockage Azure.
Sélectionnez Suivant : Vérifier et créer.
Passez en revue les informations, vérifiez qu’elles sont correctes, attendez le message Validation réussie, puis sélectionnez Créer.
Une notification s’affiche une fois que la Watchlist est créée.
La création de la Watchlist et la mise à disposition des données dans les requêtes peuvent prendre plusieurs minutes.
Charger une Watchlist créée à partir d’un modèle (préversion)
Pour créer la Watchlist à partir d’un modèle que vous avez rempli :
Pour Microsoft Sentinel dans le Portail Microsoft Azure, sous Configuration, sélectionnez Watchlist.
Pour Microsoft Sentinel dans le Portail Defender, sélectionnez Microsoft Sentinel>Configuration>Watchlist.Sélectionnez l’onglet Modèles (préversion).
Sélectionnez le modèle approprié dans la liste pour voir les détails du modèle dans le volet droit.
Sélectionnez Créer à partir d’un modèle.
Sous l’onglet Général, notez que les champs Nom, Descriptionet Alias de watchlist sont en lecture seule.
Sous l’onglet Source, sélectionnez Parcourir les fichiers et sélectionnez le fichier que vous avez créé à partir du modèle.
Sélectionnez Suivant : Vérifier et créer>Créer.
Regardez si une notification Azure s’affiche quand la Watchlist est créée.
La création de la Watchlist et la mise à disposition des données dans les requêtes peuvent prendre plusieurs minutes.
Créer une grande Watchlist à partir d’un fichier dans Stockage Azure (préversion)
Si vous avez une grande Watchlist d’une taille maximale de 500 Mo, chargez votre fichier Watchlist sur votre compte Stockage Azure. Créez ensuite une URL de signature d’accès partagé pour que Microsoft Sentinel récupère les données Watchlist. Une URL de signature d’accès partagé est un URI qui contient à la fois l’URI de ressource et le jeton de signature d’accès partagé d’une ressource, tel qu’un fichier CSV dans votre compte de stockage. Enfin, ajoutez la Watchlist à votre espace de travail dans Microsoft Sentinel.
Pour plus d’informations sur les signatures d’accès partagé, consultez Jeton de signature d’accès partagé de Stockage Azure.
Étape 1 : Charger un fichier Watchlist sur Stockage Azure
Pour charger un grand fichier Watchlist sur votre compte Stockage Azure, utilisez AzCopy ou le portail Azure.
- Si vous ne disposez pas encore d’un compte Stockage Azure, créez un compte de stockage. Le compte de stockage peut être dans un autre groupe de ressources ou une autre région de votre espace de travail dans Microsoft Sentinel.
- Utilisez AzCopy ou le portail Azure pour charger votre fichier CSV avec vos données Watchlist sur le compte de stockage.
Charger votre fichier avec AzCopy
Chargez des fichiers et des répertoires vers le stockage d’objets blob avec l’utilitaire en ligne de commande AzCopy v10. Pour en savoir plus, consultez Charger des fichiers sur Stockage Blob Azure avec AzCopy.
Si vous n’avez pas encore de conteneur de stockage, créez-en un en exécutant la commande suivante.
azcopy make https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>
Ensuite, exécutez la commande suivante pour charger le fichier.
azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'
Charger votre fichier dans le portail Azure
Si vous n’utilisez pas AzCopy, chargez votre fichier avec le portail Azure. Accédez à votre compte de stockage dans le portail Azure pour charger le fichier CSV avec vos données Watchlist.
- Si vous n’avez pas encore de conteneur de stockage, créez-en un. Pour le niveau d’accès public au conteneur, nous recommandons la valeur par défaut, Privé (aucun accès anonyme).
- Chargez votre fichier CSV sur le compte de stockage en chargeant un objet blob de blocs.
Étape 2 : Créer une URL de signature d’accès partagé
Créez une URL de signature d’accès partagé pour que Microsoft Sentinel récupère les données Watchlist.
- Suivez les étapes de la procédure Créer des jetons SAS pour les blobs dans le portail Azure.
- Définissez le délai d’expiration du jeton de signature d’accès partagé sur au moins 6 heures.
- Conservez la valeur par défaut pour adresses IP autorisées vides.
- Copiez la valeur de l’URL SAS d’objet blob.
Étape 3 : Ajouter Azure à l’onglet CORS
Avant d’utiliser un URI SAS, ajoutez le Portail Azure au partage de ressources cross-origin (CORS).
- Accédez aux paramètres du compte de stockage, page partage de ressources .
- Sélectionnez l’onglet du service Blob .
- Ajoutez
https://*.portal.azure.net
à la table d’origines autorisées. - Sélectionnez les méthodes autorisées appropriées de
GET
etOPTIONS
. - Enregistrez la configuration.
Pour plus d’informations, consultez prise en charge de CORS pour le stockage Azure.
Étape 4 : Ajouter la Watchlist à un espace de travail
Pour Microsoft Sentinel dans le Portail Microsoft Azure, sous Configuration, sélectionnez Watchlist.
Pour Microsoft Sentinel dans le Portail Defender, sélectionnez Microsoft Sentinel>Configuration>Watchlist.Cliquez sur + Nouveau.
Dans la page Général, indiquez le nom, la description et l’alias de la watchlist.
Sélectionnez Suivant : Source.
Utilisez les informations du tableau suivant pour charger vos données de watchlist.
Champ Description Type de source Stockage Azure (préversion) Sélectionner un type pour le jeu de données Fichier CSV avec un en-tête (.csv) Nombre de lignes avant la ligne avec les en-têtes Entrez le nombre de lignes avant la ligne d’en-tête qui se trouve dans votre fichier de données. URL SAS d’objet blob (préversion) Collez l’URL d’accès partagé que vous avez créée. Clé de recherche Entrez le nom d’une colonne de votre watchlist que vous voulez utiliser comme jointure avec d’autres données ou un objet de recherche fréquent. Par exemple, si votre serveur Watchlist contient des noms de pays/région et leurs codes de pays respectifs à deux lettres et que vous prévoyez d’utiliser souvent les codes de pays pour la recherche ou les jointures, utilisez la colonne Code en tant que SearchKey. Une fois que vous avez entré toutes les informations, votre page doit ressembler à l’image suivante.
Sélectionnez Suivant : Vérifier et créer.
Passez en revue les informations, vérifiez qu’elles sont correctes et attendez le message Validation réussie.
Sélectionnez Create (Créer).
La création d’une grande Watchlist et la mise à disposition des données dans les requêtes peuvent prendre un certain temps.
Afficher l’état de la Watchlist
Affichez l’État en sélectionnant la Watchlist dans votre espace de travail.
Pour Microsoft Sentinel dans le Portail Microsoft Azure, sous Configuration, sélectionnez Watchlist.
Pour Microsoft Sentinel dans le Portail Defender, sélectionnez Microsoft Sentinel>Configuration>Watchlist.Sous l’onglet Mes Watchlists, sélectionnez la Watchlist.
Dans la page des détails, vérifiez l’État (préversion).
Quand l’état est Réussite, sélectionnez Afficher dans Log Analytics pour utiliser la Watchlist dans une requête. L’affichage de la Watchlist dans Log Analytics peut prendre plusieurs minutes.
Télécharger le modèle de Watchlist (préversion)
Téléchargez un des modèles de watchlist de Microsoft Sentinel pour le remplir avec vos données. Ensuite, chargez ce fichier quand vous créez la watchlist dans Microsoft Sentinel.
Chaque modèle de watchlist intégré a son propre jeu de données listé dans le fichier CSV attaché au modèle. Pour plus d’informations, consultez Schémas de watchlist intégrés.
Pour télécharger un des modèles de watchlist,
Pour Microsoft Sentinel dans le Portail Microsoft Azure, sous Configuration, sélectionnez Watchlist.
Pour Microsoft Sentinel dans le Portail Defender, sélectionnez Microsoft Sentinel>Configuration>Watchlist.Sélectionnez l’onglet Modèles (préversion).
Sélectionnez un modèle dans la liste pour voir les détails du modèle dans le volet droit.
Sélectionnez les points de suspension ... à la fin de la ligne.
Sélectionnez Télécharger le schéma.
Remplissez votre version locale du fichier et enregistrez-la localement dans un fichier CSV.
Suivez les étapes permettant de charger une Watchlist créée à partir d’un modèle (préversion).
Watchlists supprimées et recréées dans la vue Log Analytics
Si vous supprimez et recréez une watchlist, vous pouvez voir les entrées supprimées et recréées dans Log Analytics pendant les cinq minutes du contrat SLA de l’ingestion des données. Si vous voyez ces entrées dans Log Analytics pendant plus longtemps, envoyez un ticket de support.
Contenu connexe
Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :
- Découvrez comment avoir une visibilité sur vos données et les menaces potentielles
- Démarrez avec la détection des menaces avec Microsoft Sentinel
- Utilisez des classeurs pour superviser vos données.
- Gérer les watchlists
- Créer des requêtes et des règles de détection avec des watchlists