Tworzenie list do obejrzenia w usłudze Microsoft Sentinel
Listy do obejrzenia w usłudze Microsoft Sentinel umożliwiają skorelowanie danych ze źródła danych, które udostępniasz zdarzenia w środowisku usługi Microsoft Sentinel. Możesz na przykład utworzyć listę do obejrzenia z listą zasobów o wysokiej wartości, zakończonymi pracownikami lub kontami usług w danym środowisku.
Przekaż plik listy obserwowanych z folderu lokalnego lub z konta usługi Azure Storage. Aby utworzyć plik listy obserwowanych, możesz pobrać jeden z szablonów listy obserwowanych z usługi Microsoft Sentinel w celu wypełnienia ich danymi. Następnie przekaż ten plik podczas tworzenia listy do obejrzenia w usłudze Microsoft Sentinel.
Przekazywanie plików lokalnych jest obecnie ograniczone do plików o rozmiarze do 3,8 MB. Plik o rozmiarze ponad 3,8 MB i do 500 MB jest uważany za dużą listę do obejrzenia. Przekaż plik do konta usługi Azure Storage. Przed utworzeniem listy do obejrzenia zapoznaj się z ograniczeniami list do obejrzenia.
Ważne
Funkcje szablonów listy obserwowanych i możliwość tworzenia listy obserwowanych na podstawie pliku w usłudze Azure Storage są obecnie dostępne w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Przekazywanie listy obserwowanych z folderu lokalnego
Istnieją dwa sposoby przekazywania pliku CSV z komputera lokalnego w celu utworzenia listy do obejrzenia.
- W przypadku pliku listy obserwowanych utworzonego bez szablonu listy obserwowanych: wybierz pozycję Dodaj nowy i wprowadź wymagane informacje.
- W przypadku pliku listy do obejrzenia utworzonego na podstawie szablonu pobranego z usługi Microsoft Sentinel: przejdź do karty Szablony listy obserwowanych (wersja zapoznawcza). Wybierz opcję Utwórz na podstawie szablonu. Platforma Azure wstępnie wypełnia nazwę, opis i alias listy obserwowanych.
Przekaż listę obserwowanych z utworzonego pliku
Jeśli do utworzenia pliku nie użyto szablonu listy do obejrzenia,
W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Konfiguracja wybierz pozycję Lista obserwowana.
W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Lista obserwowanych konfiguracji>usługi Microsoft Sentinel.>Wybierz + Nowy.
Na stronie Ogólne podaj nazwę, opis i alias dla listy obserwowanych.
Wybierz pozycję Dalej: Źródło.
Skorzystaj z informacji w poniższej tabeli, aby przekazać dane listy obserwowanych.
Pole opis Wybierz typ zestawu danych Plik CSV z nagłówkiem (.csv) Liczba wierszy przed wierszem z nagłówkami Wprowadź liczbę wierszy przed wierszem nagłówka, który znajduje się w pliku danych. Przekaż plik Przeciągnij i upuść plik danych lub wybierz pozycję Przeglądaj w poszukiwaniu plików i wybierz plik do przekazania. Klucz wyszukiwania Wprowadź nazwę kolumny na liście obserwowanych, która ma być używana jako sprzężenie z innymi danymi lub częstym obiektem wyszukiwania. Jeśli na przykład lista do obejrzenia serwera zawiera nazwy krajów/regionów i odpowiednie dwuliterowe kody kraju i oczekujesz, że kody kraju często będą używane do wyszukiwania lub sprzężenia, użyj kolumny Code jako SearchKey. Uwaga
Jeśli plik CSV jest większy niż 3,8 MB, należy użyć instrukcji dotyczących tworzenia dużej listy kontrolnej z pliku w usłudze Azure Storage.
Wybierz pozycję Dalej: Przejrzyj i utwórz.
Przejrzyj informacje, sprawdź, czy jest ona poprawna, poczekaj na komunikat Walidacja przekazana , a następnie wybierz pozycję Utwórz.
Po utworzeniu listy do obejrzenia zostanie wyświetlone powiadomienie.
Utworzenie listy do obejrzenia i udostępnienie nowych danych w zapytaniach może potrwać kilka minut.
Przekazywanie listy do obejrzenia utworzonej na podstawie szablonu (wersja zapoznawcza)
Aby utworzyć listę obserwowanych na podstawie wypełnionego szablonu,
W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Konfiguracja wybierz pozycję Lista obserwowana.
W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Lista obserwowanych konfiguracji>usługi Microsoft Sentinel.>Wybierz kartę Szablony (wersja zapoznawcza).
Wybierz odpowiedni szablon z listy, aby wyświetlić szczegóły szablonu w okienku po prawej stronie.
Wybierz pozycję Utwórz na podstawie szablonu.
Na karcie Ogólne zwróć uwagę, że pola Nazwa, Opis i Alias listy obserwowanych są tylko do odczytu.
Na karcie Źródło wybierz pozycję Przeglądaj dla plików i wybierz plik utworzony na podstawie szablonu.
Wybierz pozycję Dalej: Przejrzyj i utwórz.>
Poszukaj powiadomienia platformy Azure, które ma być wyświetlane po utworzeniu listy do obejrzenia.
Utworzenie listy do obejrzenia i udostępnienie nowych danych w zapytaniach może potrwać kilka minut.
Tworzenie dużej listy obserwowanych na podstawie pliku w usłudze Azure Storage (wersja zapoznawcza)
Jeśli masz dużą listę obserwowanych o rozmiarze do 500 MB, przekaż plik listy do obejrzenia na konto usługi Azure Storage. Następnie utwórz adres URL sygnatury dostępu współdzielonego dla usługi Microsoft Sentinel, aby pobrać dane listy obserwowanych. Adres URL sygnatury dostępu współdzielonego to identyfikator URI, który zawiera zarówno identyfikator URI zasobu, jak i token sygnatury dostępu współdzielonego zasobu, taki jak plik CSV na koncie magazynu. Na koniec dodaj listę obserwowanych do obszaru roboczego w usłudze Microsoft Sentinel.
Aby uzyskać więcej informacji na temat sygnatur dostępu współdzielonego, zobacz Token sygnatury dostępu współdzielonego usługi Azure Storage.
Krok 1. Przekazywanie pliku listy obserwowanych do usługi Azure Storage
Aby przekazać duży plik listy do obejrzenia na konto usługi Azure Storage, użyj narzędzia AzCopy lub witryny Azure Portal.
- Jeśli nie masz jeszcze konta usługi Azure Storage, utwórz konto magazynu. Konto magazynu może znajdować się w innej grupie zasobów lub regionie z obszaru roboczego w usłudze Microsoft Sentinel.
- Użyj narzędzia AzCopy lub witryny Azure Portal, aby przekazać plik csv z danymi listy obserwowanych do konta magazynu.
Przekazywanie pliku za pomocą narzędzia AzCopy
Przekaż pliki i katalogi do usługi Blob Storage przy użyciu narzędzia wiersza polecenia AzCopy w wersji 10. Aby dowiedzieć się więcej, zobacz Przekazywanie plików do usługi Azure Blob Storage przy użyciu narzędzia AzCopy.
Jeśli nie masz jeszcze kontenera magazynu, utwórz go, uruchamiając następujące polecenie.
azcopy make https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>
Następnie uruchom następujące polecenie, aby przekazać plik.
azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'
Przekazywanie pliku w witrynie Azure Portal
Jeśli nie używasz narzędzia AzCopy, przekaż plik przy użyciu witryny Azure Portal. Przejdź do konta magazynu w witrynie Azure Portal, aby przekazać plik csv z danymi listy obserwowanych.
- Jeśli nie masz jeszcze istniejącego kontenera magazynu, utwórz kontener. W przypadku poziomu publicznego dostępu do kontenera zalecamy ustawienie domyślne, czyli ustawienie poziomu na Prywatny (bez dostępu anonimowego).
- Przekaż plik CSV na konto magazynu, przekazując blokowy obiekt blob.
Krok 2. Tworzenie adresu URL sygnatury dostępu współdzielonego
Utwórz adres URL sygnatury dostępu współdzielonego dla usługi Microsoft Sentinel, aby pobrać dane listy obserwowanych.
- Wykonaj kroki opisane w artykule Tworzenie tokenów SAS dla obiektów blob w witrynie Azure Portal.
- Ustaw czas wygaśnięcia tokenu sygnatury dostępu współdzielonego na co najmniej 6 godzin.
- Zachowaj wartość domyślną dozwolonych adresów IP jako pustą.
- Skopiuj wartość adresu URL sygnatury dostępu współdzielonego obiektu blob.
Krok 3. Dodawanie platformy Azure do karty CORS
Przed użyciem identyfikatora URI sygnatury dostępu współdzielonego dodaj witrynę Azure Portal do współużytkowania zasobów między źródłami (CORS).
- Przejdź do ustawień konta magazynu, strony Udostępnianie zasobów.
- Wybierz kartę Blob Service .
- Dodaj
https://*.portal.azure.net
do tabeli dozwolonych źródeł. - Wybierz odpowiednie dozwolone metody i
GET
OPTIONS
. - Zapisz konfigurację.
Aby uzyskać więcej informacji, zobacz Obsługa mechanizmu CORS dla usługi Azure Storage.
Krok 4. Dodawanie listy obserwowanych do obszaru roboczego
W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Konfiguracja wybierz pozycję Lista obserwowana.
W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Lista obserwowanych konfiguracji>usługi Microsoft Sentinel.>Wybierz + Nowy.
Na stronie Ogólne podaj nazwę, opis i alias dla listy obserwowanych.
Wybierz pozycję Dalej: Źródło.
Skorzystaj z informacji w poniższej tabeli, aby przekazać dane listy obserwowanych.
Pole opis Source type Azure Storage (wersja zapoznawcza) Wybierz typ zestawu danych Plik CSV z nagłówkiem (.csv) Liczba wierszy przed wierszem z nagłówkami Wprowadź liczbę wierszy przed wierszem nagłówka, który znajduje się w pliku danych. Adres URL sygnatury dostępu współdzielonego obiektu blob (wersja zapoznawcza) Wklej utworzony adres URL dostępu współdzielonego. Klucz wyszukiwania Wprowadź nazwę kolumny na liście obserwowanych, która ma być używana jako sprzężenie z innymi danymi lub częstym obiektem wyszukiwania. Jeśli na przykład lista do obejrzenia serwera zawiera nazwy krajów/regionów i odpowiednie dwuliterowe kody kraju i oczekujesz, że kody kraju często będą używane do wyszukiwania lub sprzężenia, użyj kolumny Code jako SearchKey. Po wprowadzeniu wszystkich informacji strona będzie wyglądać podobnie jak na poniższej ilustracji.
Wybierz pozycję Dalej: Przejrzyj i utwórz.
Przejrzyj informacje, sprawdź, czy jest ona poprawna, poczekaj na komunikat Walidacja przekazana .
Wybierz pozycję Utwórz.
Utworzenie dużej listy do obejrzenia i udostępnienie nowych danych w zapytaniach może zająć trochę czasu.
Wyświetlanie stanu listy obserwowanych
Wyświetl stan, wybierając listę obserwowanych w obszarze roboczym.
W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Konfiguracja wybierz pozycję Lista obserwowana.
W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Lista obserwowanych konfiguracji>usługi Microsoft Sentinel.>Na karcie Moje listy do obejrzenia wybierz listę obserwowanych.
Na stronie szczegółów przejrzyj stan (wersja zapoznawcza).
Gdy stan to Powodzenie, wybierz pozycję Wyświetl w usłudze Log Analytics , aby użyć listy kontrolnej w zapytaniu. Wyświetlenie listy do obejrzenia w usłudze Log Analytics może potrwać kilka minut.
Pobieranie szablonu listy do obejrzenia (wersja zapoznawcza)
Pobierz jeden z szablonów listy obserwowanych z usługi Microsoft Sentinel, aby wypełnić dane. Następnie przekaż ten plik podczas tworzenia listy do obejrzenia w usłudze Microsoft Sentinel.
Każdy wbudowany szablon listy obserwowanych ma własny zestaw danych wymienionych w pliku CSV dołączonym do szablonu. Aby uzyskać więcej informacji, zobacz Wbudowane schematy listy obserwowanych.
Aby pobrać jeden z szablonów listy obserwowanych,
W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Konfiguracja wybierz pozycję Lista obserwowana.
W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Lista obserwowanych konfiguracji>usługi Microsoft Sentinel.>Wybierz kartę Szablony (wersja zapoznawcza).
Wybierz szablon z listy, aby wyświetlić szczegóły szablonu w okienku po prawej stronie.
Wybierz wielokropek ... na końcu wiersza.
Wybierz pozycję Pobierz schemat.
Wypełnij lokalną wersję pliku i zapisz go lokalnie jako plik CSV.
Postępuj zgodnie z instrukcjami, aby przekazać listę do obejrzenia utworzoną na podstawie szablonu (wersja zapoznawcza).
Usunięte i ponownie tworzone listy obserwowanych w widoku usługi Log Analytics
Jeśli usuniesz i ponownie utworzysz listę do obejrzenia, możesz zobaczyć zarówno usunięte, jak i ponownie utworzone wpisy w usłudze Log Analytics w ramach pięciominutowej umowy SLA na potrzeby pozyskiwania danych. Jeśli te wpisy są widoczne razem w usłudze Log Analytics przez dłuższy czas, prześlij bilet pomocy technicznej.
Powiązana zawartość
Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły: