Vytváření seznamů ke zhlédnutí v Microsoft Sentinelu

• Platí pro:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Seznamy ke zhlédnutí v Microsoft Sentinelu umožňují korelovat data ze zdroje dat, který poskytujete s událostmi ve vašem prostředí Microsoft Sentinelu. Můžete například vytvořit seznam ke zhlédnutí se seznamem prostředků s vysokou hodnotou, ukončenými zaměstnanci nebo účty služeb ve vašem prostředí.

Nahrajte soubor seznamu ke zhlédnutí z místní složky nebo z účtu Azure Storage. Pokud chcete vytvořit soubor seznamu ke zhlédnutí, můžete si stáhnout některou ze šablon seznamu ke zhlédnutí z Microsoft Sentinelu a naplnit je daty. Potom tento soubor nahrajte při vytváření seznamu ke zhlédnutí v Microsoft Sentinelu.

Nahrávání místních souborů je aktuálně omezeno na soubory o velikosti až 3,8 MB. Soubor, který má velikost větší než 3,8 MB a až 500 MB, se považuje za velký seznam ke zhlédnutí. Nahrajte soubor do účtu Azure Storage. Před vytvořením seznamu ke zhlédnutí zkontrolujte omezení seznamů ke zhlédnutí.

Důležité

Funkce pro šablony seznamu ke zhlédnutí a možnost vytvořit seznam ke zhlédnutí ze souboru ve službě Azure Storage jsou aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.

Microsoft Sentinel je k dispozici jako součást veřejné verze Preview pro jednotnou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Nahrání seznamu ke zhlédnutí z místní složky

Soubor CSV můžete nahrát ze svého místního počítače dvěma způsoby a vytvořit seznam ke zhlédnutí.

• Pro soubor seznamu ke zhlédnutí, který jste vytvořili bez šablony seznamu ke zhlédnutí: Vyberte Přidat nový a zadejte požadované informace.
• Soubor seznamu ke zhlédnutí vytvořený ze šablony stažené z Microsoft Sentinelu: Přejděte na kartu Šablony seznamu ke zhlédnutí (Preview). Vyberte možnost Vytvořit ze šablony. Azure vám předem vyplní název, popis a alias seznamu ke zhlédnutí.

Nahrání seznamu ke zhlédnutí ze souboru, který jste vytvořili

Pokud jste k vytvoření souboru nepoužíli šablonu seznamu ke zhlédnutí,

1. Pro Microsoft Sentinel na webu Azure Portal v části Konfigurace vyberte Seznam ke zhlédnutí.
   Pro Microsoft Sentinel na portálu Defender vyberte seznam ke zhlédnutí konfigurace>Služby Microsoft Sentinel>.

2. Vyberte + Nové.

   Azure Portal

   

   Portál Defenderu

   

3. Na stránce Obecné zadejte název, popis a alias seznamu ke zhlédnutí.

   

4. Vyberte Další: Zdroj.

5. Pomocí informací v následující tabulce nahrajte data seznamu ke zhlédnutí.

   Pole	Popis
   Výběr typu datové sady	Soubor CSV se záhlavím (.csv)
   Počet řádků před řádkem se záhlavími	Zadejte počet řádků před řádek záhlaví, který je v datovém souboru.
   Nahrát soubor	Datový soubor buď přetáhněte, nebo vyberte Vyhledat soubory a vyberte soubor, který chcete nahrát.
   SearchKey	Do seznamu ke zhlédnutí zadejte název sloupce, který očekáváte jako spojení s jinými daty nebo častým objektem hledání. Pokud například seznam ke sledování serveru obsahuje názvy zemí a jejich odpovídající dvoumísmenné kódy zemí a očekáváte, že kódy zemí často použijí pro vyhledávání nebo spojení, použijte sloupec Kód jako SearchKey.

   Poznámka:

   Pokud je soubor CSV větší než 3,8 MB, musíte použít pokyny k vytvoření velkého seznamu ke zhlédnutí ze souboru v Azure Storage.

6. Vyberte Další: Zkontrolovat a vytvořit.

   

7. Zkontrolujte informace, ověřte správnost, počkejte na předanou zprávu Ověření a pak vyberte Vytvořit.

   

   Po vytvoření seznamu ke zhlédnutí se zobrazí oznámení.

Vytvoření seznamu ke zhlédnutí a zpřístupnění nových dat v dotazech může trvat několik minut.

Nahrání seznamu ke zhlédnutí vytvořenému ze šablony (Preview)

Pokud chcete vytvořit seznam ke zhlédnutí ze šablony, kterou jste naplnili,

1. Pro Microsoft Sentinel na webu Azure Portal v části Konfigurace vyberte Seznam ke zhlédnutí.
   Pro Microsoft Sentinel na portálu Defender vyberte seznam ke zhlédnutí konfigurace>Služby Microsoft Sentinel>.

2. Vyberte kartu Šablony (Preview).

3. Výběrem příslušné šablony ze seznamu zobrazíte podrobnosti o šabloně v pravém podokně.

4. Vyberte Vytvořit ze šablony.

   

5. Na kartě Obecné si všimněte, že pole Název, Popis a Alias seznamu ke zhlédnutí jsou jen pro čtení.

6. Na kartě Zdroj vyberte Vyhledat soubory a vyberte soubor, který jste vytvořili ze šablony.

7. Vyberte Další: Zkontrolovat a vytvořit.>

8. Sledujte, jak se při vytváření seznamu ke zhlédnutí zobrazí oznámení Azure.

Vytvoření seznamu ke zhlédnutí a zpřístupnění nových dat v dotazech může trvat několik minut.

Vytvoření velkého seznamu ke zhlédnutí ze souboru ve službě Azure Storage (Preview)

Pokud máte velký seznam ke zhlédnutí o velikosti až 500 MB, nahrajte soubor seznamu ke zhlédnutí do účtu služby Azure Storage. Potom vytvořte adresu URL sdíleného přístupového podpisu pro Microsoft Sentinel, která načte data seznamu ke zhlédnutí. Adresa URL sdíleného přístupového podpisu je identifikátor URI, který obsahuje identifikátor URI prostředku i token sdíleného přístupového podpisu prostředku, jako je soubor CSV ve vašem účtu úložiště. Nakonec přidejte ke svému pracovnímu prostoru v Microsoft Sentinelu seznam ke zhlédnutí.

Další informace o sdílených přístupových podpisech najdete v tématu Token sdíleného přístupového podpisu služby Azure Storage.

Krok 1: Nahrání souboru seznamu ke zhlédnutí do Azure Storage

Pokud chcete nahrát velký soubor seznamu ke zhlédnutí do účtu azure Storage, použijte AzCopy nebo Azure Portal.

1. Pokud ještě nemáte účet Azure Storage, vytvořte účet úložiště. Účet úložiště může být v jiné skupině prostředků nebo oblasti z vašeho pracovního prostoru v Microsoft Sentinelu.
2. Pomocí AzCopy nebo webu Azure Portal nahrajte soubor CSV s daty seznamu ke zhlédnutí do účtu úložiště.

Nahrání souboru pomocí AzCopy

Pomocí nástroje příkazového řádku AzCopy v10 nahrajte soubory a adresáře do úložiště objektů blob. Další informace najdete v tématu Nahrání souborů do úložiště objektů blob v Azure pomocí nástroje AzCopy.

1. Pokud ještě kontejner úložiště nemáte, vytvořte ho spuštěním následujícího příkazu.

   azcopy make 
   https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>
   

2. Potom soubor nahrajte spuštěním následujícího příkazu.

   azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'
   

Nahrání souboru na webu Azure Portal

Pokud nástroj AzCopy nepoužíváte, nahrajte soubor pomocí webu Azure Portal. Na webu Azure Portal přejděte ke svému účtu úložiště a nahrajte soubor CSV s daty seznamu ke zhlédnutí.

1. Pokud ještě nemáte existující kontejner úložiště, vytvořte kontejner. Pro úroveň veřejného přístupu ke kontejneru doporučujeme použít výchozí hodnotu, která je nastavená na privátní (bez anonymního přístupu).
2. Nahrajte soubor CSV do účtu úložiště tak, že nahrajete objekt blob bloku.

Krok 2: Vytvoření adresy URL sdíleného přístupového podpisu

Vytvořte adresu URL sdíleného přístupového podpisu pro Microsoft Sentinel pro načtení dat seznamu ke zhlédnutí.

1. Postupujte podle kroků v tématu Vytvoření tokenů SAS pro objekty blob na webu Azure Portal.
2. Nastavte dobu vypršení platnosti tokenu sdíleného přístupového podpisu na minimálně 6 hodin.
3. Ponechte výchozí hodnotu povolené IP adresy jako prázdnou.
4. Zkopírujte hodnotu adresy URL SAS objektu blob.

Krok 3: Přidání Azure na kartu CORS

Před použitím identifikátoru URI SAS přidejte Azure Portal do sdílení prostředků mezi zdroji (CORS).

1. Přejděte na nastavení účtu úložiště, na stránce Sdílení prostředků.
2. Vyberte kartu Služby blob.
3. Přidejte https://*.portal.azure.net do tabulky povolených zdrojů.
4. Vyberte vhodné povolené metodyGET a OPTIONS.
5. Uložte konfiguraci.

Další informace najdete v tématu Podpora CORS pro Azure Storage.

Krok 4: Přidání seznamu ke zhlédnutí do pracovního prostoru

1. Pro Microsoft Sentinel na webu Azure Portal v části Konfigurace vyberte Seznam ke zhlédnutí.
   Pro Microsoft Sentinel na portálu Defender vyberte seznam ke zhlédnutí konfigurace>Služby Microsoft Sentinel>.

2. Vyberte + Nové.

   

3. Na stránce Obecné zadejte název, popis a alias seznamu ke zhlédnutí.

   

4. Vyberte Další: Zdroj.

5. Pomocí informací v následující tabulce nahrajte data seznamu ke zhlédnutí.

   Pole	Popis
   Source type	Azure Storage (Preview)
   Výběr typu datové sady	Soubor CSV se záhlavím (.csv)
   Počet řádků před řádkem se záhlavími	Zadejte počet řádků před řádek záhlaví, který je v datovém souboru.
   Adresa URL SAS objektu blob (Preview)	Vložte adresu URL sdíleného přístupu, kterou jste vytvořili.
   SearchKey	Do seznamu ke zhlédnutí zadejte název sloupce, který očekáváte jako spojení s jinými daty nebo častým objektem hledání. Pokud například seznam ke sledování serveru obsahuje názvy zemí a jejich odpovídající dvoumísmenné kódy zemí a očekáváte, že kódy zemí často použijí pro vyhledávání nebo spojení, použijte sloupec Kód jako SearchKey.

   Po zadání všech informací bude stránka vypadat podobně jako na následujícím obrázku.

   

6. Vyberte Další: Zkontrolovat a vytvořit.

7. Zkontrolujte informace, ověřte, že jsou správné, počkejte na předanou zprávu ověření.

8. Vyberte Vytvořit.

Vytvoření velkého seznamu ke zhlédnutí a zpřístupnění nových dat v dotazech může chvíli trvat.

Zobrazení stavu seznamu ke zhlédnutí

Stav zobrazíte tak, že v pracovním prostoru vyberete seznam ke zhlédnutí.

1. Pro Microsoft Sentinel na webu Azure Portal v části Konfigurace vyberte Seznam ke zhlédnutí.
   Pro Microsoft Sentinel na portálu Defender vyberte seznam ke zhlédnutí konfigurace>Služby Microsoft Sentinel>.

2. Na kartě Moje seznamy ke zhlédnutí vyberte seznam ke zhlédnutí.

3. Na stránce podrobností zkontrolujte stav (Preview).

   

4. Pokud je stav Úspěšný, vyberte Zobrazit v Log Analytics a použijte seznam ke zhlédnutí v dotazu. Zobrazení seznamu ke zhlédnutí v Log Analytics může trvat několik minut.

   

Stažení šablony seznamu ke zhlédnutí (Preview)

Stáhněte si jednu ze šablon seznamu ke zhlédnutí z Microsoft Sentinelu, abyste mohli naplnit svá data. Potom tento soubor nahrajte při vytváření seznamu ke zhlédnutí v Microsoft Sentinelu.

Každá předdefinovaná šablona seznamu ke zhlédnutí má vlastní sadu dat uvedených v souboru CSV připojeném k šabloně. Další informace najdete v tématu Předdefinované schémata seznamu ke zhlédnutí.

Pokud si chcete stáhnout některou ze šablon seznamu ke zhlédnutí,

1. Pro Microsoft Sentinel na webu Azure Portal v části Konfigurace vyberte Seznam ke zhlédnutí.
   Pro Microsoft Sentinel na portálu Defender vyberte seznam ke zhlédnutí konfigurace>Služby Microsoft Sentinel>.

2. Vyberte kartu Šablony (Preview).

3. Výběrem šablony ze seznamu zobrazíte podrobnosti o šabloně v pravém podokně.

4. Vyberte tři tečky ... na konci řádku.

5. Vyberte Stáhnout schéma.

   

6. Naplňte místní verzi souboru a uložte ho místně jako soubor CSV.

7. Podle pokynů nahrajte seznam ke zhlédnutí vytvořené ze šablony (Preview).

Odstraněné a znovu vytvořeny seznamy ke zhlédnutí v zobrazení Log Analytics

Pokud odstraníte a znovu vytvoříte seznam ke zhlédnutí, může se v Log Analytics během pětiminutové smlouvy SLA pro příjem dat zobrazit odstraněné i znovu vytvořeny položky. Pokud se tyto položky zobrazí společně v Log Analytics po delší dobu, odešlete lístek podpory.

Související obsah

Další informace o službě Microsoft Sentinel najdete v následujících článcích:

• Zjistěte, jak získat přehled o datech a potenciálních hrozbách.
• Začínáme zjišťovat hrozby pomocí Služby Microsoft Sentinel
• Pomocí sešitů můžete monitorovat data.
• Správa seznamů ke zhlédnutí
• Vytváření dotazů a pravidel detekce pomocí seznamů ke zhlédnutí