Partilhar via


Criar listas de observação no Microsoft Sentinel

As listas de observação no Microsoft Sentinel permitem correlacionar dados de uma fonte de dados fornecida com os eventos em seu ambiente Microsoft Sentinel. Por exemplo, você pode criar uma lista de observação com uma lista de ativos de alto valor, funcionários demitidos ou contas de serviço em seu ambiente.

Carregue um arquivo de lista de observação de uma pasta local ou de sua conta de Armazenamento do Azure. Para criar um arquivo de lista de observação, você tem a opção de baixar um dos modelos de lista de observação do Microsoft Sentinel para preencher com seus dados. Em seguida, carregue esse arquivo ao criar a lista de observação no Microsoft Sentinel.

Atualmente, os uploads de arquivos locais estão limitados a arquivos de até 3,8 MB de tamanho. Um arquivo com mais de 3,8 MB de tamanho e até 500 MB é considerado uma grande lista de observação. Carregue o arquivo em uma conta de Armazenamento do Azure. Antes de criar uma lista de observação, revise as limitações das listas de observação.

Importante

Os recursos para modelos de lista de observação e a capacidade de criar uma lista de observação a partir de um arquivo no Armazenamento do Azure estão atualmente em VISUALIZAÇÃO. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Carregar uma lista de observação a partir de uma pasta local

Você tem duas maneiras de carregar um arquivo CSV de sua máquina local para criar uma lista de observação.

  • Para um arquivo de lista de observação que você criou sem um modelo de lista de observação: Selecione Adicionar novo e insira as informações necessárias.
  • Para um arquivo de lista de observação criado a partir de um modelo baixado do Microsoft Sentinel: Vá para a guia Modelos da lista de observação (Visualização). Selecione a opção Criar a partir do modelo. O Azure preenche previamente o nome, a descrição e o alias da lista de observação para você.

Carregar lista de observação a partir de um ficheiro que criou

Se você não usou um modelo de lista de observação para criar seu arquivo,

  1. Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Lista de observação.
    Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuration>Watchlist.

  2. Selecione + Novo.

  3. Na página Geral, forneça o nome, a descrição e o alias da lista de observação.

    Captura de ecrã do separador geral da lista de observação no assistente de listas de observação.

  4. Selecione Next: Source.

  5. Use as informações da tabela a seguir para carregar os dados da sua lista de observação.

    Campo Descrição
    Selecione um tipo para o conjunto de dados Arquivo CSV com cabeçalho (.csv)
    Número de linhas antes da linha com títulos Insira o número de linhas antes da linha de cabeçalho que está no arquivo de dados.
    Carregar ficheiro Arraste e solte seu arquivo de dados ou selecione Procurar arquivos e selecione o arquivo a ser carregado.
    Chave de pesquisa Introduza o nome de uma coluna na sua lista de observação que espera utilizar como uma junção com outros dados ou um objeto frequente de pesquisas. Por exemplo, se a lista de observação do servidor contiver nomes de países/regiões e seus respetivos códigos de país de duas letras e você espera usar os códigos de país com frequência para pesquisa ou junções, use a coluna Código como SearchKey.

    Nota

    Se o arquivo CSV tiver mais de 3,8 MB, você precisará usar as instruções para Criar uma lista de observação grande a partir do arquivo no Armazenamento do Azure.

  6. Selecione Seguinte: Rever e Criar.

    Captura de ecrã a mostrar o separador de origem da lista de observação.

  7. Revise as informações, verifique se estão corretas, aguarde a mensagem Validação passada e selecione Criar.

    Captura de tela da página de revisão da lista de observação.

    Uma notificação é exibida assim que a lista de observação é criada.

Pode levar vários minutos para que a lista de observação seja criada e os novos dados estejam disponíveis em consultas.

Carregar lista de observação criada a partir de um modelo (Pré-visualização)

Para criar a lista de observação a partir de um modelo preenchido,

  1. Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Lista de observação.
    Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuration>Watchlist.

  2. Selecione a guia Modelos (Visualização).

  3. Selecione o modelo apropriado na lista para exibir os detalhes do modelo no painel direito.

  4. Selecione Criar a partir do modelo.

    Captura de ecrã da opção para criar uma lista de observação a partir de um modelo incorporado.

  5. Na guia Geral, observe que os campos Nome, Descrição e Alias da lista de observação são todos somente leitura.

  6. Na guia Origem, selecione Procurar arquivos e selecione o arquivo criado a partir do modelo.

  7. Selecione Próximo: Revisar e Criar>Criar.

  8. Observe se uma notificação do Azure será exibida quando a lista de observação for criada.

Pode levar vários minutos para que a lista de observação seja criada e os novos dados estejam disponíveis em consultas.

Criar uma grande lista de observação a partir do ficheiro no Armazenamento do Azure (pré-visualização)

Se você tiver uma grande lista de observação de até 500 MB de tamanho, carregue seu arquivo de lista de observação em sua conta de Armazenamento do Azure. Em seguida, crie uma URL de assinatura de acesso compartilhado para o Microsoft Sentinel para recuperar os dados da lista de observação. Uma URL de assinatura de acesso compartilhado é um URI que contém o URI do recurso e o token de assinatura de acesso compartilhado de um recurso, como um arquivo csv em sua conta de armazenamento. Por fim, adicione a lista de observação ao seu espaço de trabalho no Microsoft Sentinel.

Para obter mais informações sobre assinaturas de acesso compartilhado, consulte Token de assinatura de acesso compartilhado do Armazenamento do Azure.

Etapa 1: Carregar um arquivo de lista de observação no Armazenamento do Azure

Para carregar um arquivo de lista de observação grande para sua conta de Armazenamento do Azure, use o AzCopy ou o portal do Azure.

  1. Se ainda não tiver uma conta de Armazenamento do Azure, crie uma conta de armazenamento. A conta de armazenamento pode estar em um grupo de recursos ou região diferente do seu espaço de trabalho no Microsoft Sentinel.
  2. Use o AzCopy ou o portal do Azure para carregar seu arquivo csv com os dados da lista de observação na conta de armazenamento.

Carregue o seu ficheiro com o AzCopy

Carregue arquivos e diretórios para o armazenamento de Blob usando o utilitário de linha de comando AzCopy v10. Para saber mais, consulte Carregar arquivos para o armazenamento de Blob do Azure usando o AzCopy.

  1. Se você ainda não tiver um contêiner de armazenamento, crie um executando o seguinte comando.

    azcopy make 
    https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>
    
  2. Em seguida, execute o seguinte comando para carregar o arquivo.

    azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'
    

Carregue seu arquivo no portal do Azure

Se você não usa o AzCopy, carregue seu arquivo usando o portal do Azure. Aceda à sua conta de armazenamento no portal do Azure para carregar o ficheiro csv com os dados da sua lista de observação.

  1. Se você ainda não tiver um contêiner de armazenamento existente, crie um contêiner. Para o nível de acesso público ao contêiner, recomendamos o padrão, que é que o nível seja definido como Privado (sem acesso anônimo).
  2. Carregue seu arquivo csv para a conta de armazenamento carregando um blob de bloco.

Etapa 2: Criar URL de assinatura de acesso compartilhado

Crie uma URL de assinatura de acesso compartilhado para o Microsoft Sentinel para recuperar os dados da lista de observação.

  1. Siga as etapas em Criar tokens SAS para blobs no portal do Azure.
  2. Defina o tempo de expiração do token de assinatura de acesso compartilhado para ser no mínimo 6 horas.
  3. Mantenha o valor padrão para Endereços IP permitidos em branco.
  4. Copie o valor para URL SAS de Blob.

Etapa 3: Adicionar o Azure à guia CORS

Antes de usar um URI SAS, adicione o portal do Azure ao CORS (Cross Origin Resource Sharing).

  1. Vá para as configurações da conta de armazenamento, página Compartilhamento de recursos.
  2. Selecione a guia Serviço de Blob .
  3. Adicione https://*.portal.azure.net à tabela de origens permitidas.
  4. Selecione os métodos Permitidos apropriados de GET e OPTIONS.
  5. Guardar a configuração.

Para obter mais informações, consulte Suporte CORS para o Armazenamento do Azure.

Etapa 4: Adicionar a lista de observação a um espaço de trabalho

  1. Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Lista de observação.
    Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuration>Watchlist.

  2. Selecione + Novo.

    Captura de ecrã da lista de observação adicionar na página da lista de observação.

  3. Na página Geral, forneça o nome, a descrição e o alias da lista de observação.

    Captura de ecrã do separador geral da lista de observação com os campos de nome, descrição e alias da lista de observação.

  4. Selecione Next: Source.

  5. Use as informações da tabela a seguir para carregar os dados da sua lista de observação.

    Campo Descrição
    Source type Armazenamento do Azure (visualização)
    Selecione um tipo para o conjunto de dados Arquivo CSV com cabeçalho (.csv)
    Número de linhas antes da linha com títulos Insira o número de linhas antes da linha de cabeçalho que está no arquivo de dados.
    URL SAS do Blob (Pré-visualização) Cole o URL de acesso compartilhado que você criou.
    Chave de pesquisa Introduza o nome de uma coluna na sua lista de observação que espera utilizar como uma junção com outros dados ou um objeto frequente de pesquisas. Por exemplo, se a lista de observação do servidor contiver nomes de países/regiões e seus respetivos códigos de país de duas letras e você espera usar os códigos de país com frequência para pesquisa ou junções, use a coluna Código como SearchKey.

    Depois de inserir todas as informações, sua página será semelhante à imagem a seguir.

    Captura de ecrã da página de origem da lista de observação com valores de exemplo introduzidos.

  6. Selecione Seguinte: Rever e Criar.

  7. Revise as informações, verifique se estão corretas, aguarde a mensagem Validação aprovada .

  8. Selecione Criar.

Pode demorar um pouco para que uma grande lista de observação seja criada e os novos dados estejam disponíveis em consultas.

Ver estado da lista de observação

Exiba o status selecionando a lista de observação em seu espaço de trabalho.

  1. Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Lista de observação.
    Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuration>Watchlist.

  2. Na guia Minhas Listas de Observação, selecione a lista de observação.

  3. Na página de detalhes, revise o Status (Visualização).

    Captura de ecrã que mostra o estado do carregamento na lista de observação.

  4. Quando o status for Bem-sucedido, selecione Exibir no Log Analytics para usar a lista de observação em uma consulta. Pode levar vários minutos para que a lista de observação seja exibida no Log Analytics.

    Captura de ecrã do

Baixar modelo de lista de observação (visualização)

Baixe um dos modelos da lista de observação do Microsoft Sentinel para preencher com seus dados. Em seguida, carregue esse arquivo ao criar a lista de observação no Microsoft Sentinel.

Cada modelo de lista de observação integrado tem seu próprio conjunto de dados listados no arquivo CSV anexado ao modelo. Para obter mais informações, consulte Esquemas de lista de observação incorporados.

Para baixar um dos modelos da lista de observação,

  1. Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Lista de observação.
    Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuration>Watchlist.

  2. Selecione a guia Modelos (Visualização).

  3. Selecione um modelo na lista para exibir os detalhes do modelo no painel direito.

  4. Selecione as reticências no final da linha.

  5. Selecione Baixar esquema.

    Captura de ecrã do separador modelos com o esquema de transferência selecionado.

  6. Preencha sua versão local do arquivo e salve-o localmente como um arquivo CSV.

  7. Siga os passos para carregar a lista de observação criada a partir de um modelo (Pré-visualização).

Listas de observação excluídas e recriadas no modo de exibição do Log Analytics

Se você excluir e recriar uma lista de observação, poderá ver as entradas excluídas e recriadas no Log Analytics dentro do SLA de cinco minutos para ingestão de dados. Se você vir essas entradas juntas no Log Analytics por um longo período de tempo, envie um tíquete de suporte.

Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos: