Vytvořte seznamy sledování v Microsoft Sentinelu

Seznamy sledování v Microsoft Sentinelu pomáhají korelovat data ze zdroje dat, který poskytujete, s událostmi ve vašem prostředí Microsoft Sentinelu. Můžete například vytvořit seznam ke zhlédnutí se seznamem prostředků s vysokou hodnotou, ukončenými zaměstnanci nebo účty služeb ve vašem prostředí.

Můžete vytvořit sledovaný seznam pomocí některé z následujících metod:

• Nahrát soubor seznamu ke sledování z místní složky
• Nahrajte soubor seznamu sledování z vašeho účtu Azure Storage
• Vytvořte seznam ke zhlédnutí ručně

V současné době můžete nahrát místní soubory o velikosti až 3,8 MB. Soubor o velikosti mezi 3,8 MB až 500 MB se považuje za velký seznam sledovaných položek. Pokud chcete nahrát velký seznam ke zhlédnutí, nahrajte soubor do účtu azure Storage. Před vytvořením seznamu ke zhlédnutí zkontrolujte omezení seznamů ke zhlédnutí.

Data v tabulce Watchlist Log Analytics je uchovávaná po dobu 28 dnů.

Důležité

Funkce pro šablony seznamu ke zhlédnutí, možnost vytvořit seznam ke zhlédnutí ze souboru ve službě Azure Storage a možnost ručního vytvoření seznamu ke zhlédnutí jsou aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.

Po 31. březnu 2027 už Microsoft Sentinel nebude podporován na webu Azure Portal a bude dostupný jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel na webu Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender. Od července 2025 se mnoho nových zákazníků automaticky onboarduje a přesměruje na portál Defender.

Pokud na webu Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender , abyste zajistili hladký přechod a plně využili sjednoceného prostředí operací zabezpečení, které nabízí Microsoft Defender. Další informace najdete v tématu Je čas přesunout: Vyřazování webu Azure Portal od Microsoft Sentinelu pro zajištění vyššího zabezpečení.

Nahrání seznamu ke zhlédnutí z místní složky

Soubor CSV můžete nahrát ze svého místního počítače dvěma způsoby a vytvořit seznam ke zhlédnutí.

• Pro soubor seznamu ke zhlédnutí, který jste vytvořili bez šablony seznamu ke zhlédnutí: Vyberte Přidat nový a zadejte požadované informace.
• Pro soubor seznamu ke zhlédnutí vytvořený z šablony stažené z Microsoft Sentinelu: Přejděte na kartu Šablony (Preview). Vyberte možnost Vytvořit ze šablony. Azure předvyplní název, popis a alias seznamu k sledování.

Nahrání seznamu ke zhlédnutí ze souboru, který jste vytvořili

Pokud jste k vytvoření souboru nepoužili šablonu sledovaného seznamu:

1. Na portálu Defender přejděte do Microsoft Sentinel>Konfigurace>Seznam ke sledování.

2. Výběrem + Nový otevřete průvodce sledovacím seznamem.

   

3. Na stránce Obecné zadejte název, popis a alias seznamu ke zhlédnutí a pak vyberte Další: Zdroj.

   

4. Na stránce Zdroj použijte informace v následující tabulce k nahrání dat seznamu ke zhlédnutí a pak vyberte Další: Zkontrolovat a vytvořit.

   Pole	Popis
   Typ zdroje	Místní soubor
   Typ souboru	Soubor CSV se záhlavím (.csv)
   Počet řádků před řádkem se záhlavími	Zadejte počet řádků před řádek záhlaví, který je v datovém souboru.
   Nahrát soubor	Datový soubor buď přetáhněte, nebo vyberte Vyhledat soubory a vyberte soubor, který chcete nahrát.
   HledacíKlíč	Do seznamu ke zhlédnutí vyplňte název sloupce, který očekáváte, že použijete jako spojení s jinými daty nebo jako frekventovaný objekt hledání. Pokud například sledovaný seznam serveru obsahuje názvy zemí/oblastí a jejich odpovídající dvojpísmenné kódy zemí a očekáváte, že kódy zemí často použijete pro vyhledávání nebo spojení, použijte sloupec Kód jako SearchKey.

   Poznámka:

   Pokud je soubor CSV větší než 3,8 MB, musíte použít pokyny k vytvoření velkého seznamu ke zhlédnutí ze souboru ve službě Azure Storage.

   

5. Zkontrolujte informace, ověřte správnost a pak vyberte Vytvořit.

   

   Po vytvoření seznamu ke zhlédnutí se zobrazí oznámení.

Vytvoření seznamu ke zhlédnutí a zpřístupnění nových dat v dotazech může trvat několik minut.

Nahrání seznamu sledovaných položek vytvořeného z předlohy

Vytvoření seznamu ke zhlédnutí ze šablony, kterou jste naplnili:

1. Na portálu Defender přejděte do Microsoft Sentinel>Konfigurace>Seznam ke sledování.

2. Vyberte kartu Šablony (Preview).

3. Výběrem příslušné šablony ze seznamu zobrazíte podrobnosti o šabloně v pravém podokně.

4. Výběrem Vytvořit ze šablony otevřete průvodce pro seznam sledování.

   

5. Na stránce Obecné si všimněte, že pole Název, Popis a Alias jsou jen pro čtení. Vyberte Další: Zdroj.

6. Na stránce Zdroj vyberte Vyhledat soubory a pak vyberte soubor, který jste vytvořili ze šablony.

7. Vyberte Další: Zkontrolovat a vytvořit a pak vyberte Vytvořit. Po vytvoření seznamu ke zhlédnutí se zobrazí oznámení.

Vytvoření seznamu ke zhlédnutí a zpřístupnění nových dat v dotazech může trvat několik minut.

Vytvoření velkého seznamu ke zhlédnutí ze souboru ve službě Azure Storage (Preview)

Pokud máte velký seznam ke zhlédnutí o velikosti až 500 MB, nahrajte soubor seznamu ke zhlédnutí do účtu služby Azure Storage. Potom vytvořte adresu URL podpisu pro sdílený přístup pro Microsoft Sentinel, která získá data seznamu sledování. Adresa URL podpisu sdíleného přístupu je URI, který obsahuje jak URI prostředku, tak token podpisu sdíleného přístupu prostředku, jako je soubor CSV ve vašem účtu úložiště. Nakonec přidejte ke svému pracovnímu prostoru v Microsoft Sentinelu seznam ke zhlédnutí.

Další informace o sdílených přístupových podpisech najdete v tématu Token sdíleného přístupového podpisu služby Azure Storage.

Krok 1: Nahrání souboru seznamu ke zhlédnutí do Azure Storage

Pokud chcete nahrát velký soubor seznamu ke zhlédnutí do účtu azure Storage, použijte AzCopy nebo Azure Portal.

1. Pokud ještě nemáte účet Azure Storage, vytvořte účet úložiště. Účet úložiště může být v jiné skupině prostředků nebo jiné oblasti než je váš pracovní prostor v Microsoft Sentinelu.
2. Pomocí AzCopy nebo portálu Azure nahrajte soubor CSV s daty seznamu sledovaných položek do účtu úložiště.

Nahrání souboru pomocí AzCopy

Pomocí nástroje příkazového řádku AzCopy v10 nahrajte soubory a adresáře do úložiště objektů blob. Další informace najdete v tématu Nahrání souborů do úložiště objektů blob v Azure pomocí nástroje AzCopy.

1. Pokud ještě kontejner úložiště nemáte, vytvořte ho spuštěním následujícího příkazu.

   azcopy make 
   https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>
   

2. Potom soubor nahrajte spuštěním následujícího příkazu.

   azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'
   

Nahrání souboru na webu Azure Portal

Pokud nástroj AzCopy nepoužíváte, nahrajte soubor pomocí webu Azure Portal. Na webu Azure Portal přejděte ke svému účtu úložiště a nahrajte soubor CSV s daty seznamu ke zhlédnutí.

1. Pokud ještě nemáte existující kontejner úložiště, vytvořte kontejner. Pro úroveň veřejného přístupu ke kontejneru použijte výchozí hodnotu nastavenou na Privátní (bez anonymního přístupu).
2. Nahrajte blokový blob, abyste nahráli soubor CSV do účtu úložiště.

Krok 2: Vytvoření adresy URL sdíleného přístupového podpisu

Vytvořte adresu URL sdíleného přístupového podpisu, aby Microsoft Sentinel mohl načíst data seznamu sledování.

1. Postupujte podle kroků v tématu Vytvoření tokenů SAS pro objekty blob na webu Azure Portal.
2. Nastavte dobu vypršení platnosti tokenu sdíleného přístupového podpisu na nejméně šest hodin.
3. Ponechte výchozí hodnotu povolené IP adresy jako prázdnou.
4. Zkopírujte hodnotu adresy URL SAS objektu blob.

Krok 3: Přidání Azure na kartu CORS

Před použitím identifikátoru URI SAS přidejte Azure Portal do sdílení prostředků mezi zdroji (CORS).

1. Přejděte na nastavení účtu úložiště, na stránce Sdílení prostředků .
2. Vyberte kartu Služba blob.
3. Přidejte https://*.portal.azure.net do tabulky povolených zdrojů.
4. Vyberte vhodné povolené metodyGET a OPTIONS.
5. Uložte konfiguraci.

Další informace najdete v tématu Podpora CORS pro Azure Storage.

Krok 4: Přidání seznamu ke zhlédnutí do pracovního prostoru

1. Na portálu Defender přejděte do Microsoft Sentinel>Konfigurace>Seznam ke sledování.

2. Výběrem + Nový otevřete průvodce sledovacím seznamem.

3. Na stránce Obecné zadejte název, popis a alias seznamu ke zhlédnutí a pak vyberte Další: Zdroj.

4. Na stránce Zdroj použijte informace v následující tabulce k nahrání dat seznamu ke zhlédnutí a pak vyberte Další: Zkontrolovat a vytvořit.

   Pole	Popis
   Typ zdroje	Azure Storage (Preview)
   Výběr typu datové sady	Soubor CSV se záhlavím (.csv)
   Počet řádků před řádkem se záhlavími	Zadejte počet řádků před řádek záhlaví, který je v datovém souboru.
   Adresa URL SAS datového objektu (Náhled)	Vložte vytvořenou adresu URL sdíleného přístupu.
   HledacíKlíč	Do seznamu ke zhlédnutí vyplňte název sloupce, který očekáváte, že použijete jako spojení s jinými daty nebo jako frekventovaný objekt hledání. Pokud například sledovaný seznam serveru obsahuje názvy zemí/oblastí a jejich odpovídající dvojpísmenné kódy zemí a očekáváte, že kódy zemí často použijete pro vyhledávání nebo spojení, použijte sloupec Kód jako SearchKey.

5. Zkontrolujte informace, ověřte správnost a pak vyberte Vytvořit. Po vytvoření seznamu ke zhlédnutí se zobrazí oznámení.

Vytvoření velkého seznamu ke zhlédnutí a zpřístupnění nových dat v dotazech může chvíli trvat.

Ručně vytvořit seznam ke zhlédnutí (náhled)

Vytvoření seznamu sledovaných položek od začátku:

1. Na portálu Defender přejděte do Microsoft Sentinel>Konfigurace>Seznam ke sledování.

2. Výběrem + Nový otevřete průvodce sledovacím seznamem.

3. Na stránce Obecné zadejte název, popis a alias seznamu ke zhlédnutí a pak vyberte Další: Zdroj.

4. Na stránce Zdroj zvolte Ruční (Preview) jako Typ zdroje.

5. Přidejte a definujte názvy sloupců pro váš sledovací seznam. Zvolte sloupec, který slouží jako váš vyhledávací klíč. Tento klíč je sloupec ve vašem seznamu sledování, který očekáváte použít pro propojení s jinými daty nebo často používáte při hledání.

   

6. Vyberte Další: Zkontrolovat a vytvořit.

7. Zkontrolujte informace, ověřte správnost a pak vyberte Vytvořit. Po vytvoření seznamu ke zhlédnutí se zobrazí oznámení.

Vytvoření seznamu ke zhlédnutí a zpřístupnění nových dat v dotazech může trvat několik minut.

Poznámka:

Seznamy ke zhlédnutí, které vytvoříte ručně, automaticky obsahují jednu položku, která používá výchozí hodnoty. Podle potřeby můžete tuto položku aktualizovat. Další informace najdete v tématu Správa sledovacích seznamů.

Zobrazení stavu seznamu ke zhlédnutí

Chcete-li zobrazit stav sledovacího seznamu ve vašem pracovním prostoru:

1. Na portálu Defender přejděte do Microsoft Sentinel>Konfigurace>Seznam ke sledování.

2. Na kartě Moje seznamy ke zhlédnutí vyberte seznam ke zhlédnutí.

3. Na stránce podrobností zkontrolujte stav (Preview).

   

4. Pokud je stav Úspěšný, vyberte Zobrazit v protokolech a použijte seznam ke zhlédnutí v dotazu. Zobrazení seznamu ke zhlédnutí v Log Analytics může trvat několik minut.

   

Stažení šablony seznamu sledování (náhled)

Stáhněte si jednu ze šablon seznamu ke zhlédnutí z Microsoft Sentinelu, abyste mohli naplnit svá data. Potom tento soubor nahrajte při vytváření seznamu ke zhlédnutí v Microsoft Sentinelu.

Každá předdefinovaná šablona seznamu ke zhlédnutí má vlastní sadu dat uvedených v souboru CSV připojeném k šabloně. Další informace najdete v tématu Vestavěná schémata sledování.

Chcete-li stáhnout jednu ze šablon sledovacího seznamu:

1. Na portálu Defender přejděte do Microsoft Sentinel>Konfigurace>Seznam ke sledování.

2. Vyberte kartu Šablony (Preview).

3. Výběrem šablony ze seznamu zobrazíte podrobnosti o šabloně v pravém podokně.

4. Vyberte trojtečku ... na konci řádku.

5. Vyberte Stáhnout schéma.

   

6. Naplňte místní verzi souboru a uložte ho místně jako soubor CSV.

7. Postupujte podle kroků a nahrajte seznam ke zhlédnutí vytvořený ze šablony (Preview).

Odstraněné a znovu vytvořené sledovací seznamy v zobrazení Log Analytics

Pokud odstraníte a znovu vytvoříte seznam ke sledování, mohou se v Log Analytics v rámci pětiminutové SLA (Service Level Agreement) pro příjem dat zobrazit jak odstraněné, tak znovu vytvořené položky. Pokud se tyto položky zobrazují společně ve službě Log Analytics po delší dobu, vytvořte ticket podpory.

Související obsah

Další informace o službě Microsoft Sentinel najdete v následujících článcích:

• Zjistěte, jak získat přehled o datech a potenciálních hrozbách.
• Začínáme zjišťovat hrozby pomocí Služby Microsoft Sentinel
• Pomocí sešitů můžete monitorovat data.
• Správa seznamů ke zhlédnutí
• Vytvářejte dotazy a pravidla detekce pomocí sledovacích seznamů