Erstellen von Watchlists in Microsoft Sentinel

• Gilt für::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Mit Watchlists in Microsoft Sentinel können Sie Daten aus einer Datenquelle korrelieren, die Sie mit den Ereignissen in Ihrer Microsoft Sentinel-Umgebung bereitstellen. Beispielsweise können Sie eine Watchlist mit einer Liste von hochwertigen Ressourcen, gekündigten Mitarbeiter*innen oder Dienstkonten in Ihrer Umgebung erstellen.

Hochladen eine Watchlistdatei aus einem lokalen Ordner oder aus Ihrem Azure Storage-Konto. Um eine Watchlistdatei zu erstellen, haben Sie die Möglichkeit, eine der Watchlistvorlagen von Microsoft Sentinel herunterzuladen, um sie mit Ihren Daten aufzufüllen. Laden Sie diese Datei dann hoch, wenn Sie die Watchlist in Microsoft Sentinel erstellen.

Lokale Dateiuploads sind aktuell auf Dateien mit einer Größe von bis zu 3,8 MB beschränkt. Eine Datei mit einer Größe von über 3,8 MB und bis zu 500 MB wird als große Watchlist betrachtet. Laden Sie die Datei in ein Azure Storage-Konto hoch. Bevor Sie eine Watchlist erstellen, überprüfen Sie die Einschränkungen von Watchlists.

Wichtig

Die Features für Watchlistvorlagen und die Möglichkeit zum Erstellen einer Watchlist aus einer Datei in Azure Storage befinden sich derzeit in der VORSCHAUPHASE. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Microsoft Sentinel ist als Teil der öffentlichen Vorschau für die Unified Security Operations Platform im Microsoft Defender Portal verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Hochladen einer Watchlist aus einem lokalen Ordner

Sie haben zwei Möglichkeiten, um eine CSV-Datei von Ihrem lokalen Computer hochzuladen, um eine Watchlist zu erstellen.

• Für eine Watchlistdatei, die Sie ohne Watchlistvorlage erstellt haben: Wählen Sie Neu hinzufügen aus, und geben Sie die erforderlichen Informationen ein.
• Für eine Watchlistdatei, die aus einer von Microsoft Sentinel heruntergeladenen Vorlage erstellt wurde: Wechseln Sie zur Registerkarte Watchlistvorlagen (Vorschau), und wählen Sie die Option Aus Vorlage erstellen aus. Azure füllt den Namen, die Beschreibung und den Watchlistalias vorab für Sie auf.

Hochladen einer Watchlist aus einer von Ihnen erstellten Datei

Wenn Sie ihre Datei nicht mithilfe einer Watchlistvorlage erstellt haben:

1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Konfiguration die Option Watchlist aus.
   Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel >Konfigurationsanalyse>Watchlist aus.

2. Wählen Sie + Neu aus.

   Azure portal

   

   Defender-Portal

   

3. Geben Sie auf der Seite Allgemein den Namen, die Beschreibung und den Alias für die Watchlist an.

   

4. Wählen Sie die Option Weiter: Quelle aus.

5. Verwenden Sie die Informationen in der folgenden Tabelle, um Ihre Watchlistdaten hochzuladen.

   Feld	BESCHREIBUNG
   Typ für das Dataset auswählen	Dies ist eine CSV-Datei mit Überschrift (.csv).
   Anzahl von Zeilen vor der Überschriftenzeile	Geben Sie die Anzahl der Zeilen vor der Kopfzeile in der Datendatei ein.
   Hochladen der Datei	Sie können die Datendatei ziehen und ablegen oder auf Nach Dateien suchen klicken und die hochzuladende Datei auswählen.
   SearchKey	Geben Sie den Namen einer Spalte in Ihrer Watchlist ein, die Sie als Verknüpfung (Join) mit anderen Daten oder als häufiges Suchobjekt verwenden möchten. Wenn Ihre Serverwatchlist z. B. Ländernamen und deren entsprechende Ländercodes aus zwei Buchstaben enthält und Sie erwarten, dass Sie die Ländercodes häufig für Suchen oder Verknüpfungen verwenden werden, verwenden Sie die Spalte Code als „SearchKey“.

   Hinweis

   Wenn Ihre CSV-Datei größer als 3,8 MB ist, müssen Sie die Anweisungen unter Erstellen einer großen Watchlist aus der Datei in Azure Storage verwenden.

6. Wählen Sie Weiter: Überprüfen und erstellen aus.

   

7. Sehen Sie sich die Informationen an, überprüfen Sie, ob sie korrekt sind, warten Sie die Meldung Validierung erfolgreich ab, und klicken Sie dann auf Erstellen.

   

   Sobald die Watchlist erstellt wurde, wird eine Benachrichtigung angezeigt.

Es kann einige Minuten dauern, bis die Watchlist erstellt und die neuen Daten in Abfragen verfügbar sind.

Hochladen einer aus einer Vorlage erstellten Watchlist (Vorschau)

So erstellen Sie die Watchlist aus einer von Ihnen aufgefüllten Vorlage

1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Konfiguration die Option Watchlist aus.
   Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel >Konfigurationsanalyse>Watchlist aus.

2. Klicken Sie auf die Registerkarte Vorlagen (Vorschau).

3. Wählen Sie die entsprechende Vorlage aus der Liste aus, um Details der Vorlage im rechten Bereich anzuzeigen.

4. Wähl Sie Aus Vorlage erstellen aus.

   

5. Beachten Sie, dass auf der Registerkarte Allgemein die Felder Name, Beschreibung und Watchlistalias schreibgeschützt sind.

6. Klicken Sie auf der Registerkarte Quelle auf Nach Dateien suchen, und wählen Sie die Datei aus, die Sie aus der Vorlage erstellt haben.

7. Klicken Sie auf Weiter: Überprüfen und erstellen>Erstellen.

8. Achten Sie darauf, ob eine Azure-Benachrichtigung angezeigt wird, wenn die Watchlist erstellt wird.

Es kann einige Minuten dauern, bis die Watchlist erstellt und die neuen Daten in Abfragen verfügbar sind.

Erstellen einer großen Watchlist aus einer Datei in Azure Storage (Vorschau)

Wenn Sie eine große Watchlistdatei mit einer Größe von bis zu 500 MB haben, laden Sie Ihre Watchlistdatei in Ihr Azure Storage-Konto hoch. Erstellen Sie dann eine SAS-URL (Shared Access Signature), über die Microsoft Sentinel die Watchlistdaten abrufen kann. Eine SAS-URL (Shared Access Signature) ist ein URI, der sowohl den Ressourcen-URI als auch das Shared Access Signature-Token einer Ressource wie einer CSV-Datei in Ihrem Speicherkonto enthält. Fügen Sie schließlich die Watchlist Ihrem Arbeitsbereich in Microsoft Sentinel hinzu.

Weitere Informationen zu Shared Access Signatures finden Sie unter Azure Storage: Shared Access Signatures (SAS).

Schritt 1: Hochladen einer Watchlistdatei in Azure Storage

Um eine große Watchlistdatei in Ihr Azure Storage-Konto hochzuladen, verwenden Sie AzCopy oder das Azure-Portal.

1. Falls Sie noch über kein Azure Storage-Konto verfügen, erstellen Sie ein Storage-Konto. Das Speicherkonto kann sich in einer anderen Ressourcengruppe oder Region als Ihr Arbeitsbereich in Microsoft Sentinel befinden.
2. Verwenden Sie AzCopy oder das Azure-Portal, um Ihre CSV-Datei mit Ihren Watchlistdaten in das Speicherkonto hochzuladen.

Hochladen Ihrer Datei mit AzCopy

Verwenden Sie das Befehlszeilenprogramm AzCopy v10, um Dateien und Verzeichnisse in Blob Storage hochzuladen. Weitere Informationen finden Sie unter Hochladen von Dateien in Azure Blob Storage mithilfe von AzCopy.

1. Wenn Sie noch über keinen Storage-Container verfügen, erstellen Sie einen, indem Sie den folgenden Befehl ausführen.

   azcopy make 
   https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>
   

2. Führen Sie als Nächstes den folgenden Befehl aus, um die Datei hochzuladen.

   azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'
   

Hochladen Ihrer Datei in das Azure-Portal

Wenn Sie nicht AzCopy verwenden, laden Sie Ihre Datei mithilfe des Azure-Portals hoch. Wechseln Sie zu Ihrem Speicherkonto im Azure-Portal, um die CSV-Datei mit Ihren Watchlistdaten hochzuladen.

1. Wenn Sie noch über keinen vorhandenen Storage-Container verfügen, erstellen Sie einen Container. Für die Ebene des öffentlichen Zugriffs auf den Container empfehlen wir die Standardeinstellung, bei der die Ebene auf „Privat“ (kein anonymer Zugriff) festgelegt ist.
2. Laden Sie Ihre CSV-Datei in das Speicherkonto hoch, indem Sie ein Blockblob hochladen.

Schritt 2: Erstellen einer SAS-URL (Shared Access Signature)

Erstellen Sie eine SAS-URL (Shared Access Signature), über die Microsoft Sentinel die Watchlistdaten abrufen kann.

1. Befolgen Sie die Schritte in Erstellen von SAS-Token für Blobs im Azure-Portal.
2. Legen Sie die Ablaufzeit des Shared Access Signature-Tokens auf mindestens 6 Stunden fest.
3. Behalten Sie den Standardwert für Zulässige IP-Adressen leer.
4. Kopieren Sie den Wert für Blob-SAS-URL.

Schritt 3: Hinzufügen von Azure zur CORS-Registerkarte

Bevor Sie einen SAS-URI verwenden, fügen Sie das Azure-Portal zur ursprungsübergreifenden Ressourcenfreigabe (Cross Origin Resource Sharing, CORS) hinzu.

1. Wechseln Sie zu den Einstellungen für das Speicherkonto, Seite Ressourcenfreigabe.
2. Wählen Sie die Registerkarte Blobdienst aus.
3. Fügen Sie https://*.portal.azure.net zur Tabelle der zulässigen Ursprünge hinzu.
4. Wählen Sie die geeigneten Zulässigen Methoden für GET und OPTIONS aus.
5. Speichern Sie die Konfiguration.

Weitere Informationen finden Sie unter CORS-Support für Azure Storage.

Schritt 4: Hinzufügen der Watchlist zu einem Arbeitsbereich

1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Konfiguration die Option Watchlist aus.
   Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel >Konfigurationsanalyse>Watchlist aus.

2. Wählen Sie + Neu aus.

   

3. Geben Sie auf der Seite Allgemein den Namen, die Beschreibung und den Alias für die Watchlist an.

   

4. Wählen Sie die Option Weiter: Quelle aus.

5. Verwenden Sie die Informationen in der folgenden Tabelle, um Ihre Watchlistdaten hochzuladen.

   Feld	Beschreibung
   Quellentyp	Azure Storage (Vorschau)
   Typ für das Dataset auswählen	Dies ist eine CSV-Datei mit Überschrift (.csv).
   Anzahl von Zeilen vor der Überschriftenzeile	Geben Sie die Anzahl der Zeilen vor der Kopfzeile in der Datendatei ein.
   Blob-SAS-URL (Vorschau)	Fügen Sie die SAS-URL ein, die Sie erstellt haben.
   SearchKey	Geben Sie den Namen einer Spalte in Ihrer Watchlist ein, die Sie als Verknüpfung (Join) mit anderen Daten oder als häufiges Suchobjekt verwenden möchten. Wenn Ihre Serverwatchlist z. B. Ländernamen und deren entsprechende Ländercodes aus zwei Buchstaben enthält und Sie erwarten, dass Sie die Ländercodes häufig für Suchen oder Verknüpfungen verwenden werden, verwenden Sie die Spalte Code als „SearchKey“.

   Nachdem Sie alle Informationen eingegeben haben, sieht Ihre Seite in etwa wie in der folgenden Abbildung aus.

   

6. Wählen Sie Weiter: Überprüfen und erstellen aus.

7. Sehen Sie sich die Informationen an, überprüfen Sie, ob sie korrekt sind, und warten Sie die Meldung Validierung erfolgreich ab.

8. Klicken Sie auf Erstellen.

Bei einer großen Watchlicht kann es etwas dauern, bis sie erstellt ist und die neuen Daten in Abfragen verfügbar sind.

Anzeigen des Watchliststatus

Sie können den Status anzeigen, indem Sie die Watchlist in Ihrem Arbeitsbereich auswählen.

1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Konfiguration die Option Watchlist aus.
   Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel >Konfigurationsanalyse>Watchlist aus.

2. Wählen Sie auf der Registerkarte Meine Watchlists die Watchlist aus.

3. Überprüfen Sie auf der Detailseite den Status (Vorschau).

   

4. Wenn der Status Erfolgreich lautet, wählen Sie In Log Analytics anzeigen aus, um die Watchlist in einer Abfrage zu verwenden. Es kann mehrere Minuten dauern, bis die Watchlist in Log Analytics angezeigt wird.

   

Herunterladen der Watchlistvorlage (Vorschau)

Laden Sie eine der Watchlistvorlagen von Microsoft Sentinel herunter, um sie mit Ihren Daten auszufüllen. Laden Sie diese Datei dann hoch, wenn Sie die Watchlist in Microsoft Sentinel erstellen.

Jede integrierte Watchlistvorlage verfügt über eigene Daten, die in der CSV-Datei aufgeführt sind, die an die Vorlage angefügt ist. Weitere Informationen finden Sie unter Integrierte Watchlistschemas.

So laden Sie eine der Watchlistvorlagen herunter:

1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Konfiguration die Option Watchlist aus.
   Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel >Konfigurationsanalyse>Watchlist aus.

2. Klicken Sie auf die Registerkarte Vorlagen (Vorschau).

3. Wählen Sie eine Vorlage aus der Liste aus, um Details der Vorlage im rechten Bereich anzuzeigen.

4. Klicken Sie auf die Auslassungspunkte ... am Ende der Zeile.

5. Klicken Sie auf Schema herunterladen.

   

6. Füllen Sie Ihre lokale Version der Datei auf, und speichern Sie sie lokal als CSV-Datei.

7. Führen Sie die Schritte zum Hochladen der aus einer Vorlage erstellten Watchlist (Vorschau) aus.

Gelöschte und neu erstellte Watchlists in der Log Analytics-Ansicht

Wenn Sie eine Watchlist löschen und neu erstellen, werden innerhalb der SLA von fünf Minuten für die Datenerfassung möglicherweise sowohl die gelöschten als auch die neu erstellten Einträge in Log Analytics angezeigt. Wenn diese Einträge zusammen für einen längeren Zeitraum in Log Analytics angezeigt werden, übermitteln Sie ein Supportticket.

Zugehöriger Inhalt

Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln:

• Erfahren Sie, wie Sie Einblick in Ihre Daten und potenzielle Bedrohungen erhalten.
• Erste Schritte mit dem Erkennen von Bedrohungen mit Microsoft Sentinel.
• Verwenden Sie Arbeitsmappen, um Ihre Daten zu überwachen.
• Verwalten von Watchlists
• Erstellen von Abfragen und Erkennungsregeln mit Watchlists