Membuat daftar tonton di Microsoft Sentinel

  • Artikel
  • Berlaku untuk:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Daftar pantauan di Microsoft Sentinel memungkinkan Anda menghubungkan data dari sumber data yang Anda berikan dengan peristiwa di lingkungan Microsoft Sentinel Anda. Misalnya, Anda dapat membuat daftar pantauan dengan daftar aset bernilai tinggi, karyawan yang diberhentikan, atau akun layanan di lingkungan Anda.

Unggah file daftar pantauan dari folder lokal atau dari akun Azure Storage Anda. Untuk membuat file daftar pantauan, Anda memiliki opsi untuk mengunduh salah satu templat daftar pantauan dari Microsoft Sentinel untuk diisi dengan data Anda. Kemudian unggah file itu saat Anda membuat daftar pantauan di Microsoft Sentinel.

Unggah file lokal saat ini terbatas pada file berukuran hingga 3,8 MB. File yang berukuran lebih dari 3,8 MB dan hingga 500 MB dianggap sebagai daftar pengawasan besar. Unggah file ke akun Azure Storage. Sebelum membuat daftar pantauan, tinjau batasan daftar pantauan.

Penting

Fitur untuk template daftar tonton dan kemampuan untuk membuat daftar tonton dari file di Azure Storage saat ini ada di PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Mengunggah daftar pantauan dari folder lokal

Anda memiliki dua cara untuk mengunggah file CSV dari komputer lokal untuk membuat daftar pantauan.

  • Untuk file daftar pantauan yang Anda buat tanpa templat daftar pantauan: Pilih Tambahkan baru dan masukkan informasi yang diperlukan.
  • Untuk file daftar pantauan yang dibuat dari templat yang diunduh dari Microsoft Sentinel: Buka tab Templat Daftar pantauan (Pratinjau). Pilih opsi Buat dari templat. Azure telah mengisi nama, deskripsi, dan alias daftar pantauan untuk Anda.

Mengunggah daftar pantauan dari file yang Anda buat

Jika Anda tidak menggunakan templat daftar pantauan untuk membuat file,

  1. Untuk Microsoft Azure Sentinel di portal Azure, di bawah Konfigurasi, pilih Daftar Tonton.
    Untuk Microsoft Azure Sentinel di portal Defender, pilih Daftar Pengawasan Konfigurasi>Microsoft Sentinel>.

  2. Pilih + Baru.

  3. Di halaman Umum, berikan nama, deskripsi, dan alias untuk daftar pantauan.

    Cuplikan layar tab umum daftar pengawasan di wizard daftar pengawasan.

  4. Pilih Berikutnya: Sumber.

  5. Gunakan informasi dalam tabel berikut guna mengunggah data daftar pantauan Anda.

    Bidang Deskripsi
    Pilih jenis untuk himpunan data File CSV dengan header (.csv)
    Jumlah garis sebelum baris dengan judul Masukkan jumlah baris sebelum baris header yang ada di file data Anda.
    Mengunggah file Seret lalu lepas file data Anda, atau pilih Telusuri file dan pilih file yang akan diunggah.
    SearchKey Masukkan nama kolom dalam daftar pantauan Anda yang ingin Anda gunakan sebagai penghubung dengan data lain atau objek pencarian yang sering. Misalnya, jika daftar pengawasan server Anda berisi nama negara dan kode negara dua huruf masing-masing, dan Anda akan sering menggunakan kode negara untuk pencarian atau bergabung, gunakan kolom Kode sebagai SearchKey.

    Catatan

    Jika file CSV Anda lebih besar dari 3,8 MB, Anda perlu menggunakan instruksi untuk Membuat daftar pengawasan besar dari file di Azure Storage.

  6. Pilih Berikutnya: Tinjau dan Buat.

    Cuplikan layar memperlihatkan tab sumber daftar pengawasan.

  7. Tinjau informasi, verifikasi bahwa itu benar, tunggu pesan Validasi lulus, lalu pilih Buat.

    Cuplikan layar halaman ulasan daftar tonton.

    Pemberitahuan muncul setelah daftar pengawasan dibuat.

Mungkin perlu beberapa menit agar daftar pantauan dibuat dan data baru tersedia dalam kueri.

Mengunggah daftar pantauan yang dibuat dari templat (Pratinjau)

Untuk membuat daftar pantauan dari templat yang Anda isi,

  1. Untuk Microsoft Azure Sentinel di portal Azure, di bawah Konfigurasi, pilih Daftar Tonton.
    Untuk Microsoft Azure Sentinel di portal Defender, pilih Daftar Pengawasan Konfigurasi>Microsoft Sentinel>.

  2. Pilih tab Templat (Pratinjau).

  3. Pilih templat yang sesuai dari daftar untuk guna detail templat di panel kanan.

  4. Pilih Buat dari kerangka.

    Cuplikan layar dari opsi untuk membuat daftar tonton dari templat bawaan.

  5. Di tab Umum, perhatikan bahwa bidang Nama, Deskripsi, dan Alias Daftar Pantauan semuanya baca-saja.

  6. Di tab Sumber, pilih Telusuri file dan pilih file yang Anda buat dari templat.

  7. Pilih Berikutnya: Tinjau dan Buat>Buat.

  8. Perhatikan pemberitahuan Azure muncul saat daftar pantauan dibuat.

Mungkin perlu beberapa menit agar daftar pantauan dibuat dan data baru tersedia dalam kueri.

Membuat daftar pantauan besar dari file di Azure Storage (pratinjau)

Jika Anda memiliki ukuran daftar pantauan besar hingga 500 MB, unggah file daftar pantauan ke akun Azure Storage Anda. Kemudian buat URL tanda tangan akses bersama untuk Microsoft Sentinel untuk mengambil data daftar pantauan. URL tanda tangan akses bersama adalah URI yang berisi URI sumber daya dan token tanda tangan akses bersama dari sumber daya seperti file csv di akun penyimpanan Anda. Terakhir, tambahkan daftar tonton ke ruang kerja Anda di Microsoft Sentinel.

Untuk informasi selengkapnya tentang tanda tangan akses bersama, lihat Token tanda tangan akses bersama Azure Storage.

Langkah 1: Unggah file daftar pantauan untuk Azure Storage

Untuk mengunggah file daftar pantauan besar ke akun Azure Storage Anda, gunakan AzCopy atau portal Azure.

  1. Jika Anda belum memiliki akun Azure Storage, buat akun penyimpanan. Akun penyimpanan dapat berada di grup atau wilayah sumber daya yang berbeda dari ruang kerja Anda di Microsoft Sentinel.
  2. Gunakan AzCopy atau portal Azure untuk mengunggah file csv Anda dengan data daftar pantauan Anda ke akun penyimpanan.

Mengunggah file Anda dengan AzCopy

Anda dapat mengunggah file dan direktori ke penyimpanan Blob dengan menggunakan utilitas baris perintah AzCopy v10. Untuk mempelajari lebih lanjut, lihat Mengunggah file ke penyimpanan Azure Blob menggunakan AzCopy.

  1. Jika Anda belum memiliki kontainer penyimpanan, buat satu dengan menjalankan perintah berikut.

    azcopy make 
https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>

  2. Selanjutnya, jalankan perintah berikut guna mengunggah file.

    azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'

Mengunggah file Anda di portal Azure

Jika Anda tidak menggunakan AzCopy, unggah file Anda dengan menggunakan portal Azure. Buka akun penyimpanan Anda di portal Azure guna mengunggah file csv dengan data daftar pantauan Anda.

  1. Jika Anda belum memiliki kontainer penyimpanan yang ada, buat kontainer. Untuk tingkat akses publik ke kontainer, kami merekomendasikan default yaitu level diatur ke Privat (tidak ada akses anonim).
  2. Unggah file csv Anda ke akun penyimpanan dengan mengunggah blob blok.

Langkah 2: Buat URL tanda tangan akses bersama

Buat URL tanda tangan akses bersama untuk Microsoft Sentinel guna mengambil data daftar pantauan.

  1. Ikuti langkah-langkah di Membuat token SAS untuk blob di portal Azure.
  2. Atur waktu kedaluwarsa token tanda tangan akses bersama minimal 6 jam.
  3. Pertahankan nilai default untuk Alamat IP yang diizinkan sebagai kosong.
  4. Salin nilai untuk Blob SAS URL.

Langkah 3: Tambahkan Azure ke tab CORS

Sebelum menggunakan SAS URI, tambahkan portal Azure ke Cross Origin Resource Sharing (CORS).

  1. Buka pengaturan akun penyimpanan, halaman Berbagi sumber daya.
  2. Pilih tab Blob service .
  3. Tambahkan https://*.portal.azure.net ke tabel asal yang diizinkan.
  4. Pilih metode yang diizinkan dan OPTIONSGET yang sesuai.
  5. Simpan konfigurasi.

Untuk informasi selengkapnya, lihat dukungan CORS untuk Azure Storage.

Langkah 4: Menambahkan daftar pengawasan ke ruang kerja

  1. Untuk Microsoft Azure Sentinel di portal Azure, di bawah Konfigurasi, pilih Daftar Tonton.
    Untuk Microsoft Azure Sentinel di portal Defender, pilih Daftar Pengawasan Konfigurasi>Microsoft Sentinel>.

  2. Pilih + Baru.

    Cuplikan layar dari daftar tonton tambahan pada halaman daftar tonton.

  3. Di halaman Umum, berikan nama, deskripsi, dan alias untuk daftar pantauan.

    Cuplikan layar dari tab umum daftar tonton dengan nama, deskripsi, serta bidang alias daftar tonton.

  4. Pilih Berikutnya: Sumber.

  5. Gunakan informasi dalam tabel berikut guna mengunggah data daftar pantauan Anda.

    Bidang Deskripsi
    Jenis sumber Azure Storage (pratinjau)
    Pilih jenis untuk himpunan data File CSV dengan header (.csv)
    Jumlah garis sebelum baris dengan judul Masukkan jumlah baris sebelum baris header yang ada di file data Anda.
    URL SAS Blob (Pratinjau) Tempel di URL akses bersama yang Anda buat.
    SearchKey Masukkan nama kolom dalam daftar pantauan Anda yang ingin Anda gunakan sebagai penghubung dengan data lain atau objek pencarian yang sering. Misalnya, jika daftar pengawasan server Anda berisi nama negara dan kode negara dua huruf masing-masing, dan Anda akan sering menggunakan kode negara untuk pencarian atau bergabung, gunakan kolom Kode sebagai SearchKey.

    Setelah Anda memasukkan semua informasi, halaman akan terlihat mirip dengan gambar berikut.

    Cuplikan layar dari halaman sumber daftar tonton dengan nilai sampel yang dimasukkan.

  6. Pilih Berikutnya: Tinjau dan Buat.

  7. Tinjau informasi, verifikasi bahwa itu benar, tunggu pesan Validasi lulus.

  8. Pilih Buat.

Mungkin perlu beberapa saat untuk daftar pantauan besar yang akan dibuat dan data baru akan tersedia dalam kueri.

Melihat status daftar pantauan

Lihat status dengan memilih daftar pantauan di ruang kerja Anda.

  1. Untuk Microsoft Azure Sentinel di portal Azure, di bawah Konfigurasi, pilih Daftar Tonton.
    Untuk Microsoft Azure Sentinel di portal Defender, pilih Daftar Pengawasan Konfigurasi>Microsoft Sentinel>.

  2. Di tab Daftar Pantauan Saya, pilih daftar pantauan.

  3. Di halaman detail, tinjau Status (Pratinjau).

    Cuplikan layar yang memperlihatkan status unggahan di daftar pengawasan.

  4. Saat status Berhasil, pilih Lihat di Log Analytics untuk menggunakan daftar pantauan dalam kueri. Mungkin perlu beberapa menit bagi daftar pantauan untuk ditampilkan di Log Analytics.

    Cuplikan layar

Mengunduh templat daftar pantauan (pratinjau)

Unduh salah satu templat daftar pantauan dari Microsoft Sentinel untuk diisi dengan data Anda. Kemudian unggah file itu saat Anda membuat daftar pantauan di Microsoft Sentinel.

Setiap templat daftar pengawasan bawaan memiliki kumpulan data sendiri yang tercantum dalam file CSV yang dilampirkan ke templat. Untuk informasi selengkapnya, lihat Skema daftar pengawasan bawaan.

Untuk mengunduh salah satu templat daftar pantauan,

  1. Untuk Microsoft Azure Sentinel di portal Azure, di bawah Konfigurasi, pilih Daftar Tonton.
    Untuk Microsoft Azure Sentinel di portal Defender, pilih Daftar Pengawasan Konfigurasi>Microsoft Sentinel>.

  2. Pilih tab Templat (Pratinjau).

  3. Pilih templat dari daftar untuk melihat detail templat di panel kanan.

  4. Pilih elipsis ... di akhir baris.

  5. Pilih Skema Unduh.

    Cuplikan layar tab templat dengan skema unduhan dipilih.

  6. Isi file versi lokal Anda dan simpan secara lokal sebagai file CSV.

  7. Ikuti langkah-langkah untuk mengunggah daftar pantauan yang dibuat dari templat (Pratinjau).

Daftar pantauan yang dihapus dan dibuat ulang dalam tampilan Log Analytics

Jika menghapus dan membuat ulang daftar pantauan, Anda mungkin melihat entri yang dihapus dan dibuat ulang di Log Analytics dalam SLA lima menit untuk penyerapan data. Jika Anda melihat entri ini bersama-sama di Log Analytics untuk jangka waktu yang lebih lama, kirimkan tiket dukungan.

Konten terkait

Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut: