Создание списков отслеживания в Microsoft Sentinel

• Применяется к:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Списки видео к просмотру в Microsoft Sentinel позволяют сопоставлять данные из указанного источника данных с событиями в среде Microsoft Sentinel. Например, вы можете создать список видео к просмотру, содержащий ценные ресурсы, уволенных сотрудников или учетные записи служб в вашей среде.

Отправьте файл со списком видео к просмотру из локальной папки или учетной записи службы хранилища Azure. Чтобы создать файл со списком видео к просмотру, можно скачать один из шаблонов списка видео к просмотру из Microsoft Sentinel и заполнить его данными. Затем отправьте этот файл при создании списка видео к просмотру в Microsoft Sentinel.

В настоящее время можно отправлять локальные файлы, размер которых не превышает 3,8 МБ. Размер файла размером более 3,8 МБ и до 500 МБ считается большим списком наблюдения. Отправьте файл в учетную запись служба хранилища Azure. Перед созданием списка видео к просмотру ознакомьтесь с ограничениями.

Внимание

Функции шаблонов списков видео к просмотру и возможность создания списка видео к просмотру из файла в службе хранилища Azure в настоящее время находятся на стадии предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Отправка списка видео к просмотру из локальной папки

Существует два способа отправить CSV-файл с локального компьютера, чтобы создать список видео к просмотру.

• Для файла со списком видео к просмотру, созданного без использования шаблона, выберите Добавить новый и введите необходимые сведения.
• Для файла со списком видео к просмотру, созданного на основе шаблона из Microsoft Sentinel, перейдите на вкладку Шаблоны списков видео к просмотру (предварительная версия). Выберите параметр Создать из шаблона. Azure автоматически заполняет имя, описание и псевдоним списка видео к просмотру.

Отправка списка видео к просмотру из созданного файла

Если вы не использовали шаблон списка видео к просмотру для создания файла, выполните указанные ниже действия.

1. Для Microsoft Sentinel в портал Azure в разделе "Конфигурация" выберите "Список наблюдения".
   Для Microsoft Sentinel на портале Defender выберите список отслеживания конфигурации>Microsoft Sentinel>.

2. Выберите + Создать.

   Портал Azure

   

   Портал Defender

   

3. На странице Общие укажите имя, описание и псевдоним для списка видео к просмотру.

   

4. Выберите Далее: Источник.

5. Используйте сведения из приведенной ниже таблицы для отправки данных списка видео к просмотру.

   Поле	Description
   Выберите тип набора данных	CSV-файл с заголовком (.csv)
   Число строк перед строкой с заголовками	Введите число строк перед строкой заголовка в файле данных.
   Отправить файл	Либо перетащите файл данных, либо щелкните Обзор файлов и выберите файл для отправки.
   SearchKey	Введите имя столбца в списке видео к просмотру, который предполагается использовать в качестве соединения с другими данными или частыми объектами поиска. Например, если список отслеживания сервера содержит имена стран или регионов и соответствующие коды стран с двумя буквами, и вы ожидаете, что коды стран часто используются для поиска или присоединения, используйте столбец Code в качестве searchKey.

   Примечание.

   Если CSV-файл больше 3,8 МБ, необходимо использовать инструкции по созданию большого списка наблюдения из файла в служба хранилища Azure.

6. Нажмите кнопку " Далее": проверка и создание.

   

7. Проверьте сведения, убедитесь в том, что они верны, и дождитесь появления сообщения Проверка пройдена, после чего нажмите кнопку Создать.

   

   После того как список отслеживания будет создан, появится соответствующее уведомление.

Может понадобиться подождать несколько минут, пока список видео к просмотру будет создан и новые данные станут доступны в запросах.

Отправка списка видео к просмотру, созданного на основе шаблона (предварительная версия)

Чтобы создать списка видео к просмотру на основе заполненного шаблона, выполните указанные ниже действия.

1. Для Microsoft Sentinel в портал Azure в разделе "Конфигурация" выберите "Список наблюдения".
   Для Microsoft Sentinel на портале Defender выберите список отслеживания конфигурации>Microsoft Sentinel>.

2. Перейдите на вкладку Шаблоны (предварительная версия).

3. Выберите подходящий шаблон из списка, чтобы просмотреть сведения о нем в правой области.

4. Выберите "Создать из шаблона".

   

5. На вкладке Общие обратите внимание, что поля Имя, Описание и Псевдоним для списка видео к просмотру доступны только для чтения.

6. На вкладке Источник щелкните Обзор файлов и выберите файл, созданный на основе шаблона.

7. Нажмите Далее: проверка и создание>Создать.

8. После создания списка видео к просмотру появится уведомление Azure.

Может понадобиться подождать несколько минут, пока список видео к просмотру будет создан и новые данные станут доступны в запросах.

Создание большого списка видео к просмотру из файла в службе хранилища Azure (предварительная версия)

Если у вас большой список видео к просмотру (до 500 МБ), отправьте файл с ним в учетную запись службы хранилища Azure. Затем создайте подписанный URL-адрес, по которому Microsoft Sentinel сможет получить данные списка видео к просмотру. Подписанный URL-адрес — это универсальный код ресурса (URI), который содержит как URI ресурса, так и токен подписанного URL-адреса ресурса, например CSV-файла в вашей учетной записи хранения. Наконец, добавьте список видео к просмотру в рабочую область Microsoft Sentinel.

Дополнительные сведения о подписанных URL-адресах см. в статье Токен подписанного URL-адреса службы хранилища Azure.

Шаг 1. Отправка файла со списком видео к просмотру в службу хранилища Azure

Чтобы отправить большой файл со списком видео к просмотру в учетную запись службы хранилища Azure, используйте команду AzCopy или портал Azure.

1. Если у вас еще нет учетной записи службы хранилища Azure, создайте ее. Учетная запись хранения и рабочая область Microsoft Sentinel могут находиться в разных группах ресурсов или регионах.
2. Используйте команду AzCopy или портал Azure, чтобы передать CSV-файл с данными списка видео к просмотру в учетную запись хранения.

Отправка файла с помощью AzCopy

Отправляйте файлы и каталоги в хранилище BLOB-объектов с помощью служебной программы командной строки AzCopy версии 10. Дополнительные сведения см. в статье Отправка файлов в хранилище BLOB-объектов Azure с помощью AzCopy.

1. Если у вас еще нет контейнера службы хранилища, создайте его, выполнив указанную ниже команду.

   azcopy make 
   https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>
   

2. Затем выполните приведенную ниже команду, чтобы передать файл.

   azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'
   

Отправка файла на портале Azure

Если вы не используете AzCopy, отправьте файл с помощью портала Azure. Чтобы передать CSV-файл с данными списка видео к просмотру, перейдите в учетную запись хранения на портале Azure.

1. Если у вас еще нет контейнера службы хранилища, создайте его. В качестве уровня общего доступа к контейнеру рекомендуется использовать уровень по умолчанию, то есть частный (без анонимного доступа).
2. Отправьте CSV-файл в учетную запись хранения, передав блочный BLOB-объект.

Шаг 2. Создание подписанного URL-адреса

Создайте подписанный URL-адрес, по которому Microsoft Sentinel сможет получить данные списка видео к просмотру.

1. Выполните инструкции из раздела Создание маркеров SAS для больших двоичных объектов на портале Azure.
2. Задайте срок действия подписанного URL-адреса не менее шести часов.
3. Сохраните значение по умолчанию для разрешенных IP-адресов пустым .
4. Скопируйте значение подписанного URL-адреса BLOB-объекта.

Шаг 3. Добавление Azure на вкладку CORS

Перед использованием URI SAS добавьте портал Azure в общий доступ к ресурсам между источниками (CORS).

1. Перейдите на страницу параметров учетной записи хранения, страницу общего доступа к ресурсам.
2. Перейдите на вкладку "Служба BLOB-объектов".
3. Добавьте https://*.portal.azure.net в таблицу разрешенных источников.
4. Выберите соответствующие допустимые методы GET и OPTIONS.
5. Сохраните конфигурацию.

Дополнительные сведения см. в статье о поддержке CORS для служба хранилища Azure.

Шаг 4. Добавление списка наблюдения в рабочую область

1. Для Microsoft Sentinel в портал Azure в разделе "Конфигурация" выберите "Список наблюдения".
   Для Microsoft Sentinel на портале Defender выберите список отслеживания конфигурации>Microsoft Sentinel>.

2. Выберите + Создать.

   

3. На странице Общие укажите имя, описание и псевдоним для списка видео к просмотру.

   

4. Выберите Далее: Источник.

5. Используйте сведения из приведенной ниже таблицы для отправки данных списка видео к просмотру.

   Поле	Description
   Тип источника	Служба хранилища Azure (предварительная версия)
   Выберите тип набора данных	CSV-файл с заголовком (.csv)
   Число строк перед строкой с заголовками	Введите число строк перед строкой заголовка в файле данных.
   Подписанный URL-адрес BLOB-объекта (предварительная версия)	Вставьте созданный подписанный URL-адрес.
   SearchKey	Введите имя столбца в списке видео к просмотру, который предполагается использовать в качестве соединения с другими данными или частыми объектами поиска. Например, если список отслеживания сервера содержит имена стран или регионов и соответствующие коды стран с двумя буквами, и вы ожидаете, что коды стран часто используются для поиска или присоединения, используйте столбец Code в качестве searchKey.

   После ввода всей информации страница будет выглядеть примерно так, как показано на рисунке ниже.

   

6. Нажмите кнопку " Далее": проверка и создание.

7. Проверьте сведения, убедитесь в том, что они верны, и дождитесь появления сообщения Проверка пройдена.

8. Нажмите кнопку создания.

Может понадобиться немного подождать, пока большой список видео к просмотру будет создан и новые данные станут доступны в запросах.

Просмотр состояния списка видео к просмотру

Просмотрите состояние, выбрав список видео к просмотру в рабочей области.

1. Для Microsoft Sentinel в портал Azure в разделе "Конфигурация" выберите "Список наблюдения".
   Для Microsoft Sentinel на портале Defender выберите список отслеживания конфигурации>Microsoft Sentinel>.

2. На вкладке Мои списки видео к просмотру выберите список видео к просмотру.

3. На странице подробных сведений проверьте состояние (предварительная версия).

   

4. Когда состояние примет значение Успешно, выберите Просмотреть в Log Analytics, чтобы использовать список видео к просмотру в запросе. Список видео к просмотру может появиться в Log Analytics в течение нескольких минут.

   

Скачивание шаблона списка видео к просмотру (предварительная версия)

Скачайте один из шаблонов списков видео к просмотру из Microsoft Sentinel, чтобы заполнить его данными. Затем отправьте этот файл при создании списка видео к просмотру в Microsoft Sentinel.

Каждый встроенный шаблон списка видео к просмотру обладает собственным набором данных, перечисленных в CSV-файле, присоединенном к шаблону. Дополнительные сведения см. в статье Встроенные схемы списка отслеживания.

Чтобы скачать один из шаблонов списков видео к просмотру, выполните указанные ниже действия.

1. Для Microsoft Sentinel в портал Azure в разделе "Конфигурация" выберите "Список наблюдения".
   Для Microsoft Sentinel на портале Defender выберите список отслеживания конфигурации>Microsoft Sentinel>.

2. Перейдите на вкладку Шаблоны (предварительная версия).

3. Выберите шаблон из списка, чтобы просмотреть сведения о нем в правой области.

4. Щелкните значок многоточия (...) в конце строки.

5. Выберите пункт Скачать схему.

   

6. Заполните локальную версию файла и сохраните ее локально в виде CSV-файла.

7. Выполните инструкции по отправке списка видео к просмотру, созданного на основе шаблона (предварительная версия).

Удаленные и повторно созданные списки видео к просмотру в представлении Log Analytics

Согласно соглашению об уровне обслуживания при удалении и повторном создании списков видео к просмотру в течение пяти минут после приема данных в Log Analytics могут отображаться как удаленные, так и созданные заново записи. Если эти записи отображаются одновременно в Log Analytics дольше, отправьте запрос в службу поддержки.

Связанный контент

Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:

• Узнайте, как отслеживать свои данные и потенциальные угрозы.
• Узнайте, как приступить к обнаружению угроз с помощью Microsoft Sentinel.
• Используйте книги для мониторинга данных.
• Управление списками видео к просмотру
• Создание запросов и правил обнаружения с помощью списков видео к просмотру