Condividi tramite


Creare watchlist in Microsoft Sentinel

Le watchlist in Microsoft Sentinel consentono di correlare i dati da un'origine dati fornita con gli eventi nell'ambiente Microsoft Sentinel. Ad esempio, è possibile creare una watchlist con un elenco di risorse di valore elevato, dipendenti non più in servizio o account di servizio nell'ambiente.

Caricare un file watchlist da una cartella locale o dall'account di archiviazione di Azure. Per creare un file watchlist, è possibile scaricare uno dei modelli watchlist da Microsoft Sentinel per popolare i dati. Caricare quindi il file quando si crea la watchlist in Microsoft Sentinel.

I caricamenti di file locali sono attualmente limitati ai file di dimensioni fino a 3,8 MB. Un file con dimensioni superiori a 3,8 MB e fino a 500 MB viene considerato una watchlist di grandi dimensioni. Caricare il file in un account di archiviazione di Azure. Prima di creare una watchlist, esaminare le limitazioni delle watchlist.

Importante

Le funzionalità per i modelli watchlist e la possibilità di creare una watchlist da un file in Archiviazione di Azure sono attualmente in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender nella della piattaforma operativa di sicurezza unificata Microsoft. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Caricare una watchlist da una cartella locale

È possibile caricare un file CSV dal computer locale in due modi per creare una watchlist.

  • Per un file watchlist creato senza un modello watchlist: selezionare Aggiungi nuovo e immettere le informazioni necessarie.
  • Per un file watchlist creato da un modello scaricato da Microsoft Sentinel: passare alla scheda Modelli (Anteprima) watchlist. Selezionare l'opzione Crea dal modello. Azure pre-popola automaticamente il nome, la descrizione e l'alias watchlist.

Caricare watchlist da un file creato

Se non è stato usato un modello watchlist per creare il file,

  1. Per Microsoft Sentinel nel portale di Azure, in Configurazione, selezionare Watchlist.
    Per Microsoft Sentinel, nel portale di Defender, selezionare Microsoft Sentinel>Configurazione>Watchlist.

  2. Selezionare + Nuovo.

  3. Nella pagina Generale specificare il nome, la descrizione e l'alias per la watchlist.

    Screenshot della scheda generale watchlist nella procedura guidata watchlist.

  4. Selezionare Avanti: Origine.

  5. Usare le informazioni nella tabella seguente per caricare i dati watchlist.

    Campo Descrizione
    Selezionare un tipo per il set di dati File CSV con un'intestazione (.csv)
    Numero di righe prima della riga con intestazioni Immettere il numero di righe prima della riga di intestazione presente nel file di dati.
    Carica file Trascinare e rilasciare il file di dati oppure selezionare Cerca file e selezionare il file da caricare.
    SearchKey Immettere il nome di una colonna nella watchlist che si prevede di usare come join con altri dati o come oggetto frequente di ricerche. Ad esempio, se la watchlist del server contiene i nomi dei paesi e i rispettivi codici paese a due lettere e si prevede di usare spesso i codici paese per la ricerca o i join, usare la colonna Codice come SearchKey.

    Nota

    Se il file CSV è maggiore di 3,8 MB, è necessario usare le istruzioni per Creare una watchlist di grandi dimensioni dal file in Archiviazione di Azure.

  6. Selezionare Avanti: Rivedi e crea.

    Screenshot che mostra la scheda origine watchlist.

  7. Esaminare le informazioni, verificare che sia corretto, attendere il messaggio di Convalida superata e quindi selezionare Crea.

    Screenshot della pagina di revisione della watchlist.

    Una notifica viene visualizzata dopo la creazione della watchlist.

La creazione dell'elenco di controllo e la disponibilità dei nuovi dati nelle query potrebbe richiedere alcuni minuti.

Caricare watchlist creato da un modello (anteprima)

Per creare la watchlist da un modello popolato,

  1. Per Microsoft Sentinel nel portale di Azure, in Configurazione, selezionare Watchlist.
    Per Microsoft Sentinel, nel portale di Defender, selezionare Microsoft Sentinel>Configurazione>Watchlist.

  2. Selezionare la scheda Modelli (anteprima).

  3. Selezionare il modello appropriato dall'elenco per visualizzare i dettagli del modello nel riquadro destro.

  4. Selezionare Crea dal modello.

    Screenshot dell'opzione per creare una watchlist da un modello predefinito.

  5. Nella scheda Generale notare che i campi Nome, Descrizione e Alias watchlist sono di sola lettura.

  6. Nella scheda Origine selezionare Cerca file e selezionare il file creato dal modello.

  7. Selezionare Avanti: Rivedi e crea>Crea.

  8. Controllare la visualizzazione di una notifica di Azure quando viene creata la watchlist.

La creazione della watchlist e la disponibilità dei nuovi dati nelle query potrebbe richiedere alcuni minuti.

Creare una watchlist di grandi dimensioni dal file in Archiviazione di Azure (anteprima)

Se si dispone di una watchlist di grandi dimensioni fino a 500 MB, caricare il file watchlist nell'account di archiviazione di Azure. Creare quindi un URL di firma di accesso condiviso per Microsoft Sentinel per recuperare i dati watchlist. Un URL di firma di accesso condiviso è un URI che contiene sia l'URI della risorsa che il token di firma di accesso condiviso di una risorsa, ad esempio un file CSV nell'account di archiviazione. Aggiungere infine la watchlist all'area di lavoro in Microsoft Sentinel.

Per altre informazioni sulle firme di accesso condiviso, vedere Token di firma di accesso condiviso di Archiviazione di Azure.

Passaggio 1: caricare un file watchlist in Archiviazione di Azure

Per caricare un file watchlist di grandi dimensioni nell'account di archiviazione di Azure, usare AzCopy o il portale di Azure.

  1. Se non si dispone già di un account di archiviazione di Azure, Creare un account di archiviazione. L'account di archiviazione può trovarsi in un gruppo di risorse o un'area diversa dall'area di lavoro in Microsoft Sentinel.
  2. Usare AzCopy o il portale di Azure per caricare il file CSV con i dati watchlist nell'account di archiviazione.

Caricare il file con AzCopy

Caricare file e directory nell'archivio BLOB usando l'utilità della riga di comando AzCopy v10. Per altre informazioni, vedere Caricare file nell'archivio BLOB di Azure usando AzCopy.

  1. Se non si ha già un contenitore di archiviazione, crearne uno eseguendo il comando seguente.

    azcopy make 
    https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>
    
  2. Eseguire quindi il comando seguente per caricare il file.

    azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'
    

Caricare il file nel portale di Azure

Se non si usa AzCopy, caricare il file usando il portale di Azure. Passare all'account di archiviazione nel portale di Azure per caricare il file CSV con i dati watchlist.

  1. Se non si ha già un contenitore di archiviazione esistente, creare un contenitore. Per il livello di accesso pubblico al contenitore, è consigliabile impostare il livello predefinito su Privato (nessun accesso anonimo).
  2. Caricare il file CSV nell'account di archiviazione caricare un BLOB in blocchi.

Passaggio 2: creare l'URL della firma di accesso condiviso

Creare un URL di firma di accesso condiviso per Microsoft Sentinel per recuperare i dati watchlist.

  1. Seguire la procedura descritta in Creare token di firma di accesso condiviso per i BLOB nel portale di Azure.
  2. Impostare la scadenza del token di firma di accesso condiviso in modo che sia almeno di 6 ore.
  3. Mantenere il valore predefinito per Indirizzi IP consentiti come vuoto.
  4. Copiare il valore per URL di firma di accesso condiviso BLOB.

Passaggio 3: aggiungere Azure alla scheda CORS

Prima di usare un URI di firma di accesso condiviso, aggiungere il portale di Azure alla condivisione di risorse tra le origini (CORS).

  1. Passare alla pagina delle impostazioni dell'account di archiviazione Condivisione risorse.
  2. Selezionare la scheda Servizio BLOB.
  3. Aggiungere https://*.portal.azure.net alla tabella origini consentite.
  4. Selezionare i metodi consentiti appropriati di GET e OPTIONS.
  5. Fare clic su Salva per salvare la configurazione.

Per altre informazioni, vedere Supporto CORS per Archiviazione di Azure.

Passaggio 4: aggiungere la watchlist a un'area di lavoro

  1. Per Microsoft Sentinel nel portale di Azure, in Configurazione, selezionare Watchlist.
    Per Microsoft Sentinel, nel portale di Defender, selezionare Microsoft Sentinel>Configurazione>Watchlist.

  2. Selezionare + Nuovo.

    Screenshot dell'aggiunta della watchlist nella pagina watchlist.

  3. Nella pagina Generale specificare il nome, la descrizione e l'alias per la watchlist.

    Screenshot della scheda generale watchlist con il nome, la descrizione e i campi alias watchlist.

  4. Selezionare Avanti: Origine.

  5. Usare le informazioni nella tabella seguente per caricare i dati watchlist.

    Campo Descrizione
    Tipo di origine Archiviazione di Azure (anteprima)
    Selezionare un tipo per il set di dati File CSV con un'intestazione (.csv)
    Numero di righe prima della riga con intestazioni Immettere il numero di righe prima della riga di intestazione presente nel file di dati.
    URL di firma di accesso condiviso BLOB (anteprima) Incollare l'URL di accesso condiviso creato.
    SearchKey Immettere il nome di una colonna nella watchlist che si prevede di usare come join con altri dati o come oggetto frequente di ricerche. Ad esempio, se la watchlist del server contiene i nomi dei paesi e i rispettivi codici paese a due lettere e si prevede di usare spesso i codici paese per la ricerca o i join, usare la colonna Codice come SearchKey.

    Dopo aver immesso tutte le informazioni, la pagina sarà simile all'immagine seguente.

    Screenshot della pagina di origine watchlist con i valori di esempio immessi.

  6. Selezionare Avanti: Rivedi e crea.

  7. Esaminare le informazioni, verificare che sia corretto, attendere il messaggio Convalida superata.

  8. Seleziona Crea.

La creazione di una watchlist di grandi dimensioni e la disponibilità dei nuovi dati nelle query potrebbe richiedere alcuni minuti.

Visualizzare lo stato della watchlist

Visualizzare lo stato selezionando la watchlist nell'area di lavoro.

  1. Per Microsoft Sentinel nel portale di Azure, in Configurazione, selezionare Watchlist.
    Per Microsoft Sentinel, nel portale di Defender, selezionare Microsoft Sentinel>Configurazione>Watchlist.

  2. Nella scheda Le mie watchlist selezionare la watchlist.

  3. Nella pagina dei dettagli esaminare lo Stato (anteprima).

    Screenshot che mostra lo stato di caricamento nella watchlist.

  4. Quando lo stato è Riuscito, selezionare Visualizza in Log Analytics per usare la watchlist in una query. La visualizzazione della watchlist in Log Analytics potrebbe richiedere alcuni minuti.

    Schermata di

Scaricare il modello watchlist (anteprima)

Scaricare uno dei modelli watchlist da Microsoft Sentinel per popolare i dati. Caricare quindi il file quando si crea la watchlist in Microsoft Sentinel.

Ogni modello watchlist predefinito ha un proprio set di dati elencati nel file CSV associato al modello. Per altre informazioni, vedere Schemi watchlist predefiniti.

Per scaricare uno dei modelli watchlist,

  1. Per Microsoft Sentinel nel portale di Azure, in Configurazione, selezionare Watchlist.
    Per Microsoft Sentinel, nel portale di Defender, selezionare Microsoft Sentinel>Configurazione>Watchlist.

  2. Selezionare la scheda Modelli (anteprima).

  3. Selezionare un modello dall'elenco per visualizzare i dettagli del modello nel riquadro destro.

  4. Selezionare i puntini di sospensione ... alla fine della riga.

  5. Selezionare Schema di download.

    Screenshot della scheda modelli con lo schema di download selezionato.

  6. Popolare la versione locale del file e salvarla in locale come file CSV.

  7. Seguire la procedura per caricare watchlist creata da un modello (anteprima).

Watchlist eliminate e ricreate nella visualizzazione Log Analytics

Se si elimina e ricrea una watchlist, è possibile che vengano visualizzate sia le voci eliminate che ricreate in Log Analytics entro il contratto di servizio di cinque minuti per l'inserimento dei dati. Se queste voci vengono visualizzate insieme in Log Analytics per un periodo di tempo più lungo, inviare un ticket di supporto.

Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti: