Megosztás a következőn keresztül:


Figyelőlisták létrehozása a Microsoft Sentinelben

A Microsoft Sentinel figyelőlistái lehetővé teszik, hogy a Microsoft Sentinel-környezetben megadott adatforrásból származó adatokat korrelálja. Létrehozhat például egy figyelőlistát a környezetében lévő nagy értékű objektumok, megszüntetett alkalmazottak vagy szolgáltatásfiókok listájával.

Töltsön fel egy figyelőlistafájlt egy helyi mappából vagy az Azure Storage-fiókjából. Figyelőlistafájl létrehozásához letöltheti az egyik figyelőlistasablont a Microsoft Sentinelből az adatok feltöltéséhez. Ezután töltse fel a fájlt, amikor létrehozza a figyelőlistát a Microsoft Sentinelben.

A helyi fájlfeltöltések jelenleg legfeljebb 3,8 MB méretű fájlokra korlátozódnak. A 3,8 MB-nál nagyobb és legfeljebb 500 MB méretű fájlok nagy figyelőlistának minősülnek. Töltse fel a fájlt egy Azure Storage-fiókba. Mielőtt létrehoz egy figyelőlistát, tekintse át a figyelőlisták korlátozásait.

Fontos

A figyelőlistasablonok funkciói és a figyelőlisták Azure Storage-fájlból való létrehozásának lehetősége jelenleg ELŐZETES VERZIÓban érhető el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Figyelőlista feltöltése helyi mappából

Egy figyelőlista létrehozásához kétféleképpen tölthet fel CSV-fájlt a helyi gépről.

  • Figyelőlistasablon nélkül létrehozott figyelőlistafájl esetén: Válassza az Új hozzáadása lehetőséget, és adja meg a szükséges információkat.
  • A Microsoft Sentinelből letöltött sablonból létrehozott figyelőlistafájl esetén nyissa meg a figyelőlistasablonok (előzetes verzió) lapját. Válassza a Létrehozás sablonból lehetőséget. Az Azure előre kitölti a nevet, a leírást és a figyelőlista aliasát.

Figyelőlista feltöltése létrehozott fájlból

Ha nem figyelőlistasablont használt a fájl létrehozásához,

  1. A Microsoft Sentinel esetében az Azure Portal Konfiguráció területén válassza a Figyelőlista lehetőséget.
    Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Konfigurációfigyelőlistát>.

  2. Válassza a + Új lehetőséget.

  3. Az Általános lapon adja meg a figyelőlista nevét, leírását és aliasát.

    Képernyőkép a Figyelőlista általános lapról a Figyelőlisták varázslóban.

  4. Válassza a Következő: Forrás lehetőséget.

  5. A figyelőlista adatainak feltöltéséhez használja az alábbi táblázatban található információkat.

    Mező Leírás
    Válasszon egy típust az adatkészlethez CSV-fájl fejléccel (.csv)
    Sor előtti sorok száma címsorokkal Adja meg az adatfájlban lévő fejlécsor előtti sorok számát.
    Fájl feltöltése Húzza az adatfájlt, vagy válassza a Tallózás a fájlok között lehetőséget, és válassza ki a feltölteni kívánt fájlt.
    SearchKey Adja meg annak az oszlopnak a nevét a figyelőlistán, amelyet más adatokkal való összekapcsolásként vagy gyakori keresési objektumként szeretne használni. Ha például a kiszolgáló figyelőlistája országneveket és a hozzájuk tartozó kétbetűs országkódokat tartalmaz, és az országkódokat gyakran fogja használni a kereséshez vagy csatlakozáshoz, használja a Kód oszlopot Keresési kulcsként.

    Feljegyzés

    Ha a CSV-fájl nagyobb, mint 3,8 MB, az Azure Storage-fájlból származó nagyméretű figyelőlista létrehozásához szükséges utasításokat kell használnia.

  6. Válassza a Tovább elemet : Áttekintés és létrehozás.

    Képernyőkép a figyelőlista forráslapról.

  7. Tekintse át az információkat, ellenőrizze, hogy helyes-e, várja meg az ellenőrzés által átadott üzenetet, majd válassza a Létrehozás lehetőséget.

    Képernyőkép a figyelőlista felülvizsgálati oldaláról.

    A figyelőlista létrehozása után megjelenik egy értesítés.

Eltarthat néhány percig, amíg létrejön a figyelőlista, és az új adatok elérhetők lesznek a lekérdezésekben.

Sablonból létrehozott figyelőlista feltöltése (előzetes verzió)

Ha egy feltöltött sablonból szeretné létrehozni a figyelőlistát,

  1. A Microsoft Sentinel esetében az Azure Portal Konfiguráció területén válassza a Figyelőlista lehetőséget.
    Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Konfigurációfigyelőlistát>.

  2. Válassza ki a tabulátorsablonokat (előzetes verzió).

  3. Válassza ki a megfelelő sablont a listából a sablon részleteinek megtekintéséhez a jobb oldali panelen.

  4. Válassza a Létrehozás sablonból lehetőséget.

    Képernyőkép egy beépített sablonból készült figyelőlista létrehozásának lehetőségéről.

  5. Az Általános lapon figyelje meg, hogy a Név, a Leírás és a Figyelőlista aliasa mező mind írásvédett.

  6. A Forrás lapon válassza a Tallózás a fájlok között lehetőséget, és válassza ki a sablonból létrehozott fájlt.

  7. Válassza a Tovább elemet: Áttekintés és létrehozás>.

  8. Figyelje meg, hogy megjelenik-e egy Azure-értesítés a figyelőlista létrehozásakor.

Eltarthat néhány percig, amíg létrejön a figyelőlista, és az új adatok elérhetők lesznek a lekérdezésekben.

Nagyméretű figyelőlista létrehozása fájlból az Azure Storage-ban (előzetes verzió)

Ha nagy, legfeljebb 500 MB méretű figyelőlistája van, töltse fel a figyelőlistafájlt az Azure Storage-fiókjába. Ezután hozzon létre egy közös hozzáférésű jogosultságkód URL-címét a Microsoft Sentinel számára a figyelőlista adatainak lekéréséhez. A megosztott hozzáférésű jogosultságkód URL-címe egy olyan URI, amely az erőforrás URI-ját és a megosztott hozzáférésű jogosultságkód tokent is tartalmazza, például egy csv-fájlt a tárfiókban. Végül adja hozzá a figyelőlistát a munkaterülethez a Microsoft Sentinelben.

A közös hozzáférésű jogosultságkódokkal kapcsolatos további információkért tekintse meg az Azure Storage megosztott hozzáférésű jogosultságkód-jogkivonatát.

1. lépés: Figyelőlistafájl feltöltése az Azure Storage-ba

Ha nagy figyelőlistafájlt szeretne feltölteni az Azure Storage-fiókjába, használja az AzCopyt vagy az Azure Portalt.

  1. Ha még nem rendelkezik Azure Storage-fiókkal, hozzon létre egy tárfiókot. A tárfiók a Microsoft Sentinel munkaterületétől eltérő erőforráscsoportban vagy régióban lehet.
  2. Az AzCopy vagy az Azure Portal használatával feltöltheti a csv-fájlt a figyelőlista adataival a tárfiókba.

A fájl feltöltése az AzCopy használatával

Fájlok és könyvtárak feltöltése a Blob Storage-ba az AzCopy v10 parancssori segédprogrammal. További információ: Fájlok feltöltése az Azure Blob Storage-ba az AzCopy használatával.

  1. Ha még nincs tárolótárolója, hozzon létre egyet az alábbi parancs futtatásával.

    azcopy make 
    https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>
    
  2. Ezután futtassa a következő parancsot a fájl feltöltéséhez.

    azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'
    

Fájl feltöltése az Azure Portalon

Ha nem használja az AzCopyt, töltse fel a fájlt az Azure Portal használatával. Nyissa meg a tárfiókot az Azure Portalon, és töltse fel a csv-fájlt a figyelőlista adataival.

  1. Ha még nem rendelkezik meglévő tárolóval, hozzon létre egy tárolót. A tárolóhoz való nyilvános hozzáférés szintje esetén azt javasoljuk, hogy az alapértelmezett érték az, hogy a szint privát (névtelen hozzáférés nélkül) legyen beállítva.
  2. Töltse fel a csv-fájlt a tárfiókba egy blokkblob feltöltésével.

2. lépés: Közös hozzáférésű jogosultságkód URL-címének létrehozása

Hozzon létre egy közös hozzáférésű jogosultságkód URL-címét a Microsoft Sentinel számára a figyelőlista adatainak lekéréséhez.

  1. Kövesse az Azure Portalon a blobokhoz készült SAS-jogkivonatok létrehozására vonatkozó lépéseket.
  2. Állítsa be a közös hozzáférésű jogosultságkód jogkivonatának lejárati idejét legalább 6 órára.
  3. Hagyja üresen az engedélyezett IP-címek alapértelmezett értékét.
  4. Másolja ki a Blob SAS URL-címének értékét.

3. lépés: Azure hozzáadása a CORS laphoz

SAS URI használata előtt vegye fel az Azure Portalt a forrásközi erőforrás-megosztásba (CORS).

  1. Nyissa meg a tárfiók beállításainak erőforrás-megosztási oldalát.
  2. Válassza a Blob szolgáltatás fület.
  3. Adja hozzá https://*.portal.azure.net az engedélyezett forrástáblához.
  4. Válassza ki a megfelelő Engedélyezett metódusokat és GET OPTIONS.
  5. Mentse a konfigurációt.

További információ: CORS-támogatás az Azure Storage-hoz.

4. lépés: Az figyelőlista hozzáadása egy munkaterülethez

  1. A Microsoft Sentinel esetében az Azure Portal Konfiguráció területén válassza a Figyelőlista lehetőséget.
    Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Konfigurációfigyelőlistát>.

  2. Válassza a + Új lehetőséget.

    Képernyőkép a figyelőlista hozzáadásáról a figyelőlista oldalán.

  3. Az Általános lapon adja meg a figyelőlista nevét, leírását és aliasát.

    A figyelőlista általános lapjának képernyőképe névvel, leírással és figyelőlista aliasmezőkkel.

  4. Válassza a Következő: Forrás lehetőséget.

  5. A figyelőlista adatainak feltöltéséhez használja az alábbi táblázatban található információkat.

    Mező Leírás
    Forrás típusa Azure Storage (előzetes verzió)
    Válasszon egy típust az adatkészlethez CSV-fájl fejléccel (.csv)
    Sor előtti sorok száma címsorokkal Adja meg az adatfájlban lévő fejlécsor előtti sorok számát.
    Blob SAS URL-címe (előzetes verzió) Illessze be a létrehozott megosztott hozzáférésű URL-címet.
    SearchKey Adja meg annak az oszlopnak a nevét a figyelőlistán, amelyet más adatokkal való összekapcsolásként vagy gyakori keresési objektumként szeretne használni. Ha például a kiszolgáló figyelőlistája országneveket és a hozzájuk tartozó kétbetűs országkódokat tartalmaz, és az országkódokat gyakran fogja használni a kereséshez vagy csatlakozáshoz, használja a Kód oszlopot Keresési kulcsként.

    Miután megadta az összes információt, a lap a következő képhez hasonlóan fog kinézni.

    Képernyőkép a figyelőlista forráslapjáról a megadott mintaértékekkel.

  6. Válassza a Tovább elemet : Áttekintés és létrehozás.

  7. Tekintse át az információkat, ellenőrizze, hogy helyes-e, várja meg az ellenőrzés által átadott üzenetet.

  8. Válassza a Létrehozás lehetőséget.

Eltarthat egy ideig, amíg létrejön egy nagy figyelőlista, és az új adatok elérhetők lesznek a lekérdezésekben.

Figyelőlista állapotának megtekintése

Tekintse meg az állapotot a munkaterületen található figyelőlista kiválasztásával.

  1. A Microsoft Sentinel esetében az Azure Portal Konfiguráció területén válassza a Figyelőlista lehetőséget.
    Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Konfigurációfigyelőlistát>.

  2. A Saját figyelőlisták lapon válassza ki a figyelőlistát.

  3. A részletek lapon tekintse át az Állapot (előzetes verzió) lehetőséget.

    Képernyőkép a feltöltés állapotáról a figyelőlistán.

  4. Ha az állapot sikeres, válassza a Nézet a Log Analyticsben lehetőséget a figyelőlista lekérdezésben való használatához. Eltarthat néhány percig, amíg a figyelőlista megjelenik a Log Analyticsben.

    Képernyőkép:

Figyelőlistasablon letöltése (előzetes verzió)

Töltse le az egyik figyelőlistasablont a Microsoft Sentinelből az adatok feltöltéséhez. Ezután töltse fel a fájlt, amikor létrehozza a figyelőlistát a Microsoft Sentinelben.

Minden beépített figyelőlistasablon saját adatkészlettel rendelkezik a sablonhoz csatolt CSV-fájlban. További információ: Beépített figyelőlista-sémák.

Az egyik figyelőlistasablon letöltéséhez

  1. A Microsoft Sentinel esetében az Azure Portal Konfiguráció területén válassza a Figyelőlista lehetőséget.
    Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Konfigurációfigyelőlistát>.

  2. Válassza ki a tabulátorsablonokat (előzetes verzió).

  3. Válasszon ki egy sablont a listából a sablon részleteinek megtekintéséhez a jobb oldali panelen.

  4. Válassza ki a három pontot ... a sor végén.

  5. Válassza a Séma letöltése lehetőséget.

    Képernyőkép a sablonok lapról, amelyen a letöltési séma ki van jelölve.

  6. Töltse ki a fájl helyi verzióját, és mentse helyileg CSV-fájlként.

  7. A sablonból (előzetes verzió) létrehozott figyelőlista feltöltéséhez kövesse a lépéseket.

Törölt és újra létrehozott figyelőlisták Log Analytics-nézetben

Ha töröl és újra létrehoz egy figyelőlistát, az adatbetöltéshez szükséges ötperces SLA-ban megjelenhetnek a Log Analytics törölt és újra létrehozott bejegyzései is. Ha ezeket a bejegyzéseket hosszabb ideig együtt látja a Log Analyticsben, küldjön egy támogatási jegyet.

A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben: