Compartilhar via


Criar watchlists no Microsoft Sentinel

As watchlists no Microsoft Sentinel permitem correlacionar dados de uma fonte de dados que você fornece com os eventos em seu ambiente do Microsoft Sentinel. Por exemplo, você pode criar uma watchlist com uma lista de ativos de alto valor, funcionários demitidos ou contas de serviço em seu ambiente.

Carregue um arquivo de watchlist de uma pasta local ou de sua conta de Armazenamento do Microsoft Azure. Para criar um arquivo de watchlist, você tem a opção de baixar um dos modelos de watchlist do Microsoft Sentinel a ser preenchido com seus dados. Em seguida, carregue esse arquivo quando você criar a watchlist no Microsoft Sentinel.

Atualmente, os uploads de arquivos locais estão restritos a arquivos de até 3,8 MB de tamanho. Um arquivo com mais de 3,8 MB e até 500 MB é considerado uma watchlist grande. Carregue o arquivo em uma conta do Armazenamento do Microsoft Azure. Antes de criar uma watchlist, examine as limitações das watchlists.

Importante

Os recursos dos modelos watchlist e a capacidade de criar uma watchlist de um arquivo no Armazenamento do Microsoft Azure estão atualmente em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Carregar uma watchlist de um arquivo local

Você tem duas maneiras de carregar um arquivo CSV de seu computador local para criar uma watchlist.

  • Para um arquivo de watchlist criado sem um modelo de watchlist: selecione Adicionar novo e insira as informações necessárias.
  • Para um arquivo de watchlist criado com base em um modelo baixado do Microsoft Sentinel: acesse a guia Modelos (versão prévia) da watchlist. Selecione a opção Criar de um modelo. O Azure preenche previamente o nome, a descrição e o alias da watchlist para você.

Carregar a watchlist de um arquivo que você criou

Se você não usou um modelo de watchlist para criar seu arquivo,

  1. Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Watchlist.
    Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuração>Watchlist.

  2. Selecione + Novo.

  3. Na página Geral, forneça o nome, a descrição e o alias para a watchlist.

    Captura de tela da guia geral da watchlist no assistente de watchlists.

  4. Selecione Avançar: origem.

  5. Use as informações na tabela a seguir para carregar os dados da watchlist.

    Campo Descrição
    Selecione um tipo para o conjunto de dados Arquivo CSV com um cabeçalho (.csv)
    Número de linhas antes da linha com títulos Insira o número de linhas antes da linha de cabeçalho que está no arquivo de dados.
    Carregar arquivo Arraste e solte o arquivo de dados ou selecione Procurar arquivos e selecione o arquivo a ser carregado.
    SearchKey Insira o nome de uma coluna em sua watchlist que você espera usar como uma junção com outros dados ou um objeto frequente de pesquisas. Por exemplo, se a watchlist do servidor contém nomes de países e seus respectivos códigos de país de duas letras, e você espera usar os códigos de país com frequência em pesquisas ou junções, use a coluna Código como a SearchKey.

    Observação

    Se o seu arquivo CSV for maior que 3,8 MB, você precisará usar as instruções para Criar uma lista de observação grande a partir do arquivo no Armazenamento do Azure.

  6. Clique em Avançar: Revisar e criar.

    Captura de tela mostrando a guia de origem da watchlist.

  7. Revise as informações, verifique se estão corretas, aguarde a mensagem Validação aprovada e selecione Criar.

    Captura de tela da página de revisão da watchlist.

    Uma notificação será exibida quando a watchlist for criada.

Pode levar vários minutos para que a watchlist seja criada e os novos dados sejam disponibilizados em consultas.

Carregar uma watchlist criada de um modelo (versão prévia)

Para criar a watchlist com base em um modelo que você preencheu,

  1. Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Watchlist.
    Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuração>Watchlist.

  2. Selecione a guia Modelos (versão prévia).

  3. Selecione o modelo apropriado na lista para exibir detalhes do modelo no painel direito.

  4. Selecione Criar de um modelo.

    Captura de tela da opção para criar uma watchlist de um modelo interno.

  5. Na guia Geral, observe que os campos Nome, Descrição e Alias da Watchlist são todos somente leitura.

  6. Na guia Origem, selecione Procurar arquivos e selecione o arquivo que você criou com base no modelo.

  7. Selecione Avançar: examinar e criar>Criar.

  8. Observe se uma notificação do Azure aparece quando a watchlist é criada.

Pode levar vários minutos para que a watchlist seja criada e os novos dados sejam disponibilizados em consultas.

Criar uma watchlist grande do arquivo no Armazenamento do Microsoft Azure (versão prévia)

Se você tem um arquivo grande de watchlist com até 500 MB de tamanho, carregue-o na sua conta do Armazenamento do Microsoft Azure. Em seguida, crie uma URL de assinatura de acesso compartilhado para o Microsoft Sentinel recuperar os dados da watchlist. Uma URL de assinatura de acesso compartilhado é um URI que contém o URI de recurso e o token de assinatura de acesso compartilhado de um recurso, como um arquivo csv, na sua conta de armazenamento. Por fim, adicione a watchlist ao seu workspace no Microsoft Sentinel.

Para saber mais sobre as assinaturas de acesso compartilhado, confira Token de assinatura de acesso compartilhado do Armazenamento do Microsoft Azure.

Etapa 1: carregar um arquivo de watchlist para o Armazenamento do Microsoft Azure

Para carregar um arquivo de watchlist grande em sua conta do Armazenamento do Microsoft Azure, use AzCopy ou o portal do Azure.

  1. Se você ainda não tem uma conta do Armazenamento do Microsoft Azure, crie uma conta de armazenamento. A conta de armazenamento pode estar em um grupo de recursos ou região diferente do seu workspace no Microsoft Sentinel.
  2. Use o AzCopy ou o portal do Azure para carregar o arquivo csv com os dados da watchlist na conta de armazenamento.

Carregar o arquivo com o AzCopy

Carregue arquivos e diretórios no Armazenamento de Blobs usando o utilitário de linha de comando AzCopy v10. Para saber mais, confira Carregar arquivos no Armazenamento de Blobs do Azure usando o AzCopy.

  1. Se você ainda não tem um contêiner de armazenamento, crie um executando o comando a seguir.

    azcopy make 
    https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>
    
  2. Depois, execute o comando a seguir para carregar o arquivo.

    azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'
    

Carregar o arquivo no portal do Azure

Se você não usar o AzCopy, carregue o arquivo usando o portal do Azure. Vá para sua conta de armazenamento no portal do Azure para carregar o arquivo csv com os dados da watchlist.

  1. Se você ainda não tem um contêiner de armazenamento existente, crie um contêiner. Para o nível de acesso público ao contêiner, recomendamos o padrão, que é que o nível seja definido como Privado (sem acesso anônimo).
  2. Carregue o arquivo csv para a conta de armazenamento carregando um blob de blocos.

Etapa 2: criar uma URL de assinatura de acesso compartilhado

Crie uma URL de assinatura de acesso compartilhado para o Microsoft Sentinel recuperar os dados da watchlist.

  1. Siga as etapas em Criar tokens de SAS para blobs no portal do Azure.
  2. Defina o tempo de expiração do token de assinatura de acesso compartilhado como no mínimo 6 horas.
  3. Mantenha o valor padrão para Endereços IP permitidos em branco.
  4. Copie o valor de URL de SAS do blob.

Etapa 3: Adicionar o Azure à guia CORS

Antes de utilizar um URI SAS, adicione o portal do Azure ao CORS (compartilhamento de recursos entre origens).

  1. Vá para as configurações da conta de armazenamento, página Compartilhamento de recursos.
  2. Selecione a guia Serviço Blob.
  3. Adicione https://*.portal.azure.net à tabela de origens permitida.
  4. Selecione os Métodos permitidos apropriados de GET e OPTIONS.
  5. Salve a configuração.

Para obter mais informações, consulte Suporte a CORS para Armazenamento do Azure.

Etapa 4: Adicionar a watchlist a um workspace

  1. Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Watchlist.
    Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuração>Watchlist.

  2. Selecione + Novo.

    Captura de tela da adição de watchlist na página de watchlist.

  3. Na página Geral, forneça o nome, a descrição e o alias para a watchlist.

    Captura de tela da guia geral da watchlist com os campos de nome, descrição e alias da watchlist.

  4. Selecione Avançar: origem.

  5. Use as informações na tabela a seguir para carregar os dados da watchlist.

    Campo Descrição
    Tipo de origem Armazenamento do Microsoft Azure (versão prévia)
    Selecione um tipo para o conjunto de dados Arquivo CSV com um cabeçalho (.csv)
    Número de linhas antes da linha com títulos Insira o número de linhas antes da linha de cabeçalho que está no arquivo de dados.
    URL de SAS do Blob (versão prévia) Cole a URL de acesso compartilhado que você criou.
    SearchKey Insira o nome de uma coluna em sua watchlist que você espera usar como uma junção com outros dados ou um objeto frequente de pesquisas. Por exemplo, se a watchlist do servidor contém nomes de países e seus respectivos códigos de país de duas letras, e você espera usar os códigos de país com frequência em pesquisas ou junções, use a coluna Código como a SearchKey.

    Depois de inserir todas as informações, sua página será semelhante à imagem a seguir.

    Captura de tela da página de origem da watchlist com valores de exemplo inseridos.

  6. Clique em Avançar: Revisar e criar.

  7. Revise as informações, verifique se estão corretas e aguarde a mensagem Validação aprovada.

  8. Selecione Criar.

Pode levar algum tempo para que a watchlist seja criada e os novos dados sejam disponibilizados em consultas.

Exibir status da watchlist

Veja o status selecionando a watchlist em seu workspace.

  1. Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Watchlist.
    Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuração>Watchlist.

  2. Na guia Minhas Watchlists, selecione a watchlist.

  3. Na página de detalhes, examine o Status (versão prévia).

    Captura de tela que mostra o status de upload na watchlist.

  4. Quando o status for Bem-sucedido, selecione Exibir no Log Analytics para usar a watchlist em uma consulta. Pode levar vários minutos para que a watchlist apareça no Log Analytics.

    Captura de tela de

Baixar o modelo watchlist (versão prévia)

Baixe um dos modelos de watchlist do Microsoft Sentinel para preencher com seus dados. Em seguida, carregue esse arquivo quando você criar a watchlist no Microsoft Sentinel.

Cada modelo de watchlist integrado tem um conjunto próprio de dados listado no arquivo CSV anexado ao modelo. Para obter mais informações, confira Esquemas de watchlist integrados.

Para baixar um dos modelos de watchlist,

  1. Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Watchlist.
    Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuração>Watchlist.

  2. Selecione a guia Modelos (versão prévia).

  3. Selecione um modelo na lista para exibir detalhes do modelo no painel direito.

  4. Escolha as reticências ... no final da linha.

  5. Selecione o Esquema de Download.

    Captura de tela da guia modelos com o esquema de download selecionado.

  6. Preencha a versão local do arquivo e salve-a localmente como um arquivo CSV.

  7. Siga as etapas para carregar uma watchlist criada de um modelo (versão prévia).

Watchlists excluídas e recriadas na exibição do Log Analytics

Se você excluir e recriar uma watchlist, poderá ver as entradas excluídas e recriadas simultaneamente no Log Analytics durante o SLA de cinco minutos para ingestão de dados. Se você vir essas entradas juntas no Log Analytics por um período de tempo mais longo, envie um tíquete de suporte.

Para saber mais sobre o Microsoft Sentinel, confira os artigos a seguir: