Figyelőlisták létrehozása a Microsoft Sentinelben

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

A Microsoft Sentinel figyelőlistái lehetővé teszik, hogy a Microsoft Sentinel-környezetben megadott adatforrásból származó adatokat korrelálja. Létrehozhat például egy figyelőlistát a környezetében lévő nagy értékű objektumok, megszüntetett alkalmazottak vagy szolgáltatásfiókok listájával.

Töltsön fel egy figyelőlistafájlt egy helyi mappából vagy az Azure Storage-fiókjából. Figyelőlistafájl létrehozásához letöltheti az egyik figyelőlistasablont a Microsoft Sentinelből az adatok feltöltéséhez. Ezután töltse fel a fájlt, amikor létrehozza a figyelőlistát a Microsoft Sentinelben.

A helyi fájlfeltöltések jelenleg legfeljebb 3,8 MB méretű fájlokra korlátozódnak. A 3,8 MB-nál nagyobb és legfeljebb 500 MB méretű fájlok nagy figyelőlistának minősülnek. Töltse fel a fájlt egy Azure Storage-fiókba. Mielőtt létrehoz egy figyelőlistát, tekintse át a figyelőlisták korlátozásait.

Fontos

A figyelőlistasablonok funkciói és a figyelőlisták Azure Storage-fájlból való létrehozásának lehetősége jelenleg ELŐZETES VERZIÓban érhető el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Figyelőlista feltöltése helyi mappából

Egy figyelőlista létrehozásához kétféleképpen tölthet fel CSV-fájlt a helyi gépről.

• Figyelőlistasablon nélkül létrehozott figyelőlistafájl esetén: Válassza az Új hozzáadása lehetőséget, és adja meg a szükséges információkat.
• A Microsoft Sentinelből letöltött sablonból létrehozott figyelőlistafájl esetén nyissa meg a figyelőlistasablonok (előzetes verzió) lapját. Válassza a Létrehozás sablonból lehetőséget. Az Azure előre kitölti a nevet, a leírást és a figyelőlista aliasát.

Figyelőlista feltöltése létrehozott fájlból

Ha nem figyelőlistasablont használt a fájl létrehozásához,

1. A Microsoft Sentinel esetében az Azure Portal Konfiguráció területén válassza a Figyelőlista lehetőséget.
   Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Konfigurációfigyelőlistát>.

2. Válassza a + Új lehetőséget.

   Azure Portalra

   

   Defender portál

   

3. Az Általános lapon adja meg a figyelőlista nevét, leírását és aliasát.

   

4. Válassza a Következő: Forrás lehetőséget.

5. A figyelőlista adatainak feltöltéséhez használja az alábbi táblázatban található információkat.

   Mező	Leírás
   Válasszon egy típust az adatkészlethez	CSV-fájl fejléccel (.csv)
   Sor előtti sorok száma címsorokkal	Adja meg az adatfájlban lévő fejlécsor előtti sorok számát.
   Fájl feltöltése	Húzza az adatfájlt, vagy válassza a Tallózás a fájlok között lehetőséget, és válassza ki a feltölteni kívánt fájlt.
   SearchKey	Adja meg annak az oszlopnak a nevét a figyelőlistán, amelyet más adatokkal való összekapcsolásként vagy gyakori keresési objektumként szeretne használni. Ha például a kiszolgáló figyelőlistája országneveket és a hozzájuk tartozó kétbetűs országkódokat tartalmaz, és az országkódokat gyakran fogja használni a kereséshez vagy csatlakozáshoz, használja a Kód oszlopot Keresési kulcsként.

   Feljegyzés

   Ha a CSV-fájl nagyobb, mint 3,8 MB, az Azure Storage-fájlból származó nagyméretű figyelőlista létrehozásához szükséges utasításokat kell használnia.

6. Válassza a Tovább elemet : Áttekintés és létrehozás.

   

7. Tekintse át az információkat, ellenőrizze, hogy helyes-e, várja meg az ellenőrzés által átadott üzenetet, majd válassza a Létrehozás lehetőséget.

   

   A figyelőlista létrehozása után megjelenik egy értesítés.

Eltarthat néhány percig, amíg létrejön a figyelőlista, és az új adatok elérhetők lesznek a lekérdezésekben.

Sablonból létrehozott figyelőlista feltöltése (előzetes verzió)

Ha egy feltöltött sablonból szeretné létrehozni a figyelőlistát,

1. A Microsoft Sentinel esetében az Azure Portal Konfiguráció területén válassza a Figyelőlista lehetőséget.
   Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Konfigurációfigyelőlistát>.

2. Válassza ki a tabulátorsablonokat (előzetes verzió).

3. Válassza ki a megfelelő sablont a listából a sablon részleteinek megtekintéséhez a jobb oldali panelen.

4. Válassza a Létrehozás sablonból lehetőséget.

   

5. Az Általános lapon figyelje meg, hogy a Név, a Leírás és a Figyelőlista aliasa mező mind írásvédett.

6. A Forrás lapon válassza a Tallózás a fájlok között lehetőséget, és válassza ki a sablonból létrehozott fájlt.

7. Válassza a Tovább elemet: Áttekintés és létrehozás>.

8. Figyelje meg, hogy megjelenik-e egy Azure-értesítés a figyelőlista létrehozásakor.

Eltarthat néhány percig, amíg létrejön a figyelőlista, és az új adatok elérhetők lesznek a lekérdezésekben.

Nagyméretű figyelőlista létrehozása fájlból az Azure Storage-ban (előzetes verzió)

Ha nagy, legfeljebb 500 MB méretű figyelőlistája van, töltse fel a figyelőlistafájlt az Azure Storage-fiókjába. Ezután hozzon létre egy közös hozzáférésű jogosultságkód URL-címét a Microsoft Sentinel számára a figyelőlista adatainak lekéréséhez. A megosztott hozzáférésű jogosultságkód URL-címe egy olyan URI, amely az erőforrás URI-ját és a megosztott hozzáférésű jogosultságkód tokent is tartalmazza, például egy csv-fájlt a tárfiókban. Végül adja hozzá a figyelőlistát a munkaterülethez a Microsoft Sentinelben.

A közös hozzáférésű jogosultságkódokkal kapcsolatos további információkért tekintse meg az Azure Storage megosztott hozzáférésű jogosultságkód-jogkivonatát.

1. lépés: Figyelőlistafájl feltöltése az Azure Storage-ba

Ha nagy figyelőlistafájlt szeretne feltölteni az Azure Storage-fiókjába, használja az AzCopyt vagy az Azure Portalt.

1. Ha még nem rendelkezik Azure Storage-fiókkal, hozzon létre egy tárfiókot. A tárfiók a Microsoft Sentinel munkaterületétől eltérő erőforráscsoportban vagy régióban lehet.
2. Az AzCopy vagy az Azure Portal használatával feltöltheti a csv-fájlt a figyelőlista adataival a tárfiókba.

A fájl feltöltése az AzCopy használatával

Fájlok és könyvtárak feltöltése a Blob Storage-ba az AzCopy v10 parancssori segédprogrammal. További információ: Fájlok feltöltése az Azure Blob Storage-ba az AzCopy használatával.

1. Ha még nincs tárolótárolója, hozzon létre egyet az alábbi parancs futtatásával.

   azcopy make 
   https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>
   

2. Ezután futtassa a következő parancsot a fájl feltöltéséhez.

   azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'
   

Fájl feltöltése az Azure Portalon

Ha nem használja az AzCopyt, töltse fel a fájlt az Azure Portal használatával. Nyissa meg a tárfiókot az Azure Portalon, és töltse fel a csv-fájlt a figyelőlista adataival.

1. Ha még nem rendelkezik meglévő tárolóval, hozzon létre egy tárolót. A tárolóhoz való nyilvános hozzáférés szintje esetén azt javasoljuk, hogy az alapértelmezett érték az, hogy a szint privát (névtelen hozzáférés nélkül) legyen beállítva.
2. Töltse fel a csv-fájlt a tárfiókba egy blokkblob feltöltésével.

2. lépés: Közös hozzáférésű jogosultságkód URL-címének létrehozása

Hozzon létre egy közös hozzáférésű jogosultságkód URL-címét a Microsoft Sentinel számára a figyelőlista adatainak lekéréséhez.

1. Kövesse az Azure Portalon a blobokhoz készült SAS-jogkivonatok létrehozására vonatkozó lépéseket.
2. Állítsa be a közös hozzáférésű jogosultságkód jogkivonatának lejárati idejét legalább 6 órára.
3. Hagyja üresen az engedélyezett IP-címek alapértelmezett értékét.
4. Másolja ki a Blob SAS URL-címének értékét.

3. lépés: Azure hozzáadása a CORS laphoz

SAS URI használata előtt vegye fel az Azure Portalt a forrásközi erőforrás-megosztásba (CORS).

1. Nyissa meg a tárfiók beállításainak erőforrás-megosztási oldalát.
2. Válassza a Blob szolgáltatás fület.
3. Adja hozzá https://*.portal.azure.net az engedélyezett forrástáblához.
4. Válassza ki a megfelelő Engedélyezett metódusokat és GETOPTIONS.
5. Mentse a konfigurációt.

További információ: CORS-támogatás az Azure Storage-hoz.

4. lépés: Az figyelőlista hozzáadása egy munkaterülethez

1. A Microsoft Sentinel esetében az Azure Portal Konfiguráció területén válassza a Figyelőlista lehetőséget.
   Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Konfigurációfigyelőlistát>.

2. Válassza a + Új lehetőséget.

   

3. Az Általános lapon adja meg a figyelőlista nevét, leírását és aliasát.

   

4. Válassza a Következő: Forrás lehetőséget.

5. A figyelőlista adatainak feltöltéséhez használja az alábbi táblázatban található információkat.

   Mező	Leírás
   Forrás típusa	Azure Storage (előzetes verzió)
   Válasszon egy típust az adatkészlethez	CSV-fájl fejléccel (.csv)
   Sor előtti sorok száma címsorokkal	Adja meg az adatfájlban lévő fejlécsor előtti sorok számát.
   Blob SAS URL-címe (előzetes verzió)	Illessze be a létrehozott megosztott hozzáférésű URL-címet.
   SearchKey	Adja meg annak az oszlopnak a nevét a figyelőlistán, amelyet más adatokkal való összekapcsolásként vagy gyakori keresési objektumként szeretne használni. Ha például a kiszolgáló figyelőlistája országneveket és a hozzájuk tartozó kétbetűs országkódokat tartalmaz, és az országkódokat gyakran fogja használni a kereséshez vagy csatlakozáshoz, használja a Kód oszlopot Keresési kulcsként.

   Miután megadta az összes információt, a lap a következő képhez hasonlóan fog kinézni.

   

6. Válassza a Tovább elemet : Áttekintés és létrehozás.

7. Tekintse át az információkat, ellenőrizze, hogy helyes-e, várja meg az ellenőrzés által átadott üzenetet.

8. Válassza a Létrehozás lehetőséget.

Eltarthat egy ideig, amíg létrejön egy nagy figyelőlista, és az új adatok elérhetők lesznek a lekérdezésekben.

Figyelőlista állapotának megtekintése

Tekintse meg az állapotot a munkaterületen található figyelőlista kiválasztásával.

1. A Microsoft Sentinel esetében az Azure Portal Konfiguráció területén válassza a Figyelőlista lehetőséget.
   Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Konfigurációfigyelőlistát>.

2. A Saját figyelőlisták lapon válassza ki a figyelőlistát.

3. A részletek lapon tekintse át az Állapot (előzetes verzió) lehetőséget.

   

4. Ha az állapot sikeres, válassza a Nézet a Log Analyticsben lehetőséget a figyelőlista lekérdezésben való használatához. Eltarthat néhány percig, amíg a figyelőlista megjelenik a Log Analyticsben.

   

Figyelőlistasablon letöltése (előzetes verzió)

Töltse le az egyik figyelőlistasablont a Microsoft Sentinelből az adatok feltöltéséhez. Ezután töltse fel a fájlt, amikor létrehozza a figyelőlistát a Microsoft Sentinelben.

Minden beépített figyelőlistasablon saját adatkészlettel rendelkezik a sablonhoz csatolt CSV-fájlban. További információ: Beépített figyelőlista-sémák.

Az egyik figyelőlistasablon letöltéséhez

1. A Microsoft Sentinel esetében az Azure Portal Konfiguráció területén válassza a Figyelőlista lehetőséget.
   Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Konfigurációfigyelőlistát>.

2. Válassza ki a tabulátorsablonokat (előzetes verzió).

3. Válasszon ki egy sablont a listából a sablon részleteinek megtekintéséhez a jobb oldali panelen.

4. Válassza ki a három pontot ... a sor végén.

5. Válassza a Séma letöltése lehetőséget.

   

6. Töltse ki a fájl helyi verzióját, és mentse helyileg CSV-fájlként.

7. A sablonból (előzetes verzió) létrehozott figyelőlista feltöltéséhez kövesse a lépéseket.

Törölt és újra létrehozott figyelőlisták Log Analytics-nézetben

Ha töröl és újra létrehoz egy figyelőlistát, az adatbetöltéshez szükséges ötperces SLA-ban megjelenhetnek a Log Analytics törölt és újra létrehozott bejegyzései is. Ha ezeket a bejegyzéseket hosszabb ideig együtt látja a Log Analyticsben, küldjön egy támogatási jegyet.

Kapcsolódó tartalom

A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben:

• Megtudhatja, hogyan ismerheti meg az adatokat és a potenciális fenyegetéseket
• Ismerkedés a fenyegetések észlelésével a Microsoft Sentinel használatával
• Munkafüzetek használatával monitorozza az adatokat.
• Figyelőlisták kezelése
• Lekérdezések és észlelési szabályok létrehozása figyelőlistákkal