Delen via


Volglijsten maken in Microsoft Sentinel

Met volglijsten in Microsoft Sentinel kunt u gegevens correleren vanuit een gegevensbron die u verstrekt met de gebeurtenissen in uw Microsoft Sentinel-omgeving. U kunt bijvoorbeeld een volglijst maken met een lijst met activa met hoge waarde, beëindigde werknemers of serviceaccounts in uw omgeving.

Upload een watchlist-bestand vanuit een lokale map of vanuit uw Azure Storage-account. Als u een volglijstbestand wilt maken, hebt u de mogelijkheid om een van de volglijstsjablonen van Microsoft Sentinel te downloaden om uw gegevens te vullen. Upload dat bestand vervolgens wanneer u de volglijst in Microsoft Sentinel maakt.

Lokale bestandsuploads zijn momenteel beperkt tot bestanden van maximaal 3,8 MB. Een bestand dat groter is dan 3,8 MB en maximaal 500 MB wordt beschouwd als een grote volglijst. Upload het bestand naar een Azure Storage-account. Bekijk de beperkingen van watchlists voordat u een volglijst maakt.

Belangrijk

De functies voor volglijstsjablonen en de mogelijkheid om een volglijst te maken op basis van een bestand in Azure Storage, zijn momenteel in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Microsoft Sentinel is nu algemeen beschikbaar in het geïntegreerde Microsoft Security Operations-platform in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Een volglijst uploaden vanuit een lokale map

U hebt twee manieren om een CSV-bestand vanaf uw lokale computer te uploaden om een volglijst te maken.

  • Voor een volglijstbestand dat u hebt gemaakt zonder een volglijstsjabloon: selecteer Nieuwe toevoegen en voer de vereiste gegevens in.
  • Voor een watchlistbestand dat is gemaakt op basis van een sjabloon die is gedownload van Microsoft Sentinel: Ga naar het tabblad Sjablonen voor volglijsten (preview ). Selecteer de optie Maken op basis van sjabloon. Azure vult de naam, beschrijving en volglijstalias vooraf voor u in.

Volglijst uploaden van een bestand dat u hebt gemaakt

Als u geen volglijstsjabloon hebt gebruikt om uw bestand te maken,

  1. Selecteer voor Microsoft Sentinel in Azure Portal onder Configuratie de optie Volglijst.
    Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Configuration>Watchlist.

  2. Selecteer + Nieuw.

  3. Geef op de pagina Algemeen de naam, beschrijving en alias op voor de volglijst.

    Schermopname van het tabblad Algemeen watchlist in de wizard Volglijsten.

  4. Selecteer Volgende: Bron.

  5. Gebruik de informatie in de volgende tabel om uw volglijstgegevens te uploaden.

    Veld Beschrijving
    Selecteer een type voor de gegevensset CSV-bestand met een koptekst (.csv)
    Aantal regels vóór rij met koppen Voer het aantal regels in vóór de veldnamenrij in het gegevensbestand.
    Bestand uploaden Sleep het gegevensbestand en zet het neer of selecteer Bladeren naar bestanden en selecteer het bestand dat u wilt uploaden.
    SearchKey Voer de naam in van een kolom in uw volglijst die u verwacht te gebruiken als join met andere gegevens of een frequent object met zoekopdrachten. Als uw server-watchlist bijvoorbeeld landnamen en hun respectieve tweeletterige landcodes bevat en u verwacht dat u de landcodes vaak gebruikt voor zoekopdrachten of joins, gebruikt u de kolom Code als zoeksleutel.

    Notitie

    Als uw CSV-bestand groter is dan 3,8 MB, moet u de instructies gebruiken voor het maken van een grote volglijst van bestand in Azure Storage.

  6. Selecteer Volgende: Controleren en maken.

    Schermopname van het tabblad Bron van de watchlist.

  7. Controleer de informatie, controleer of deze juist is, wacht totdat het bericht Validatie is geslaagd en selecteer vervolgens Maken.

    Schermopname van de controlepagina van de watchlist.

    Er wordt een melding weergegeven zodra de volglijst is gemaakt.

Het kan enkele minuten duren voordat de volglijst is gemaakt en de nieuwe gegevens beschikbaar zijn in query's.

Volglijst uploaden die is gemaakt op basis van een sjabloon (preview)

Als u de volglijst wilt maken op basis van een sjabloon die u hebt ingevuld,

  1. Selecteer voor Microsoft Sentinel in Azure Portal onder Configuratie de optie Volglijst.
    Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Configuration>Watchlist.

  2. Selecteer de tabbladsjablonen (preview).

  3. Selecteer de juiste sjabloon in de lijst om details van de sjabloon in het rechterdeelvenster weer te geven.

  4. Selecteer Maken op basis van sjabloon.

    Schermopname van de optie voor het maken van een volglijst op basis van een ingebouwde sjabloon.

  5. Op het tabblad Algemeen ziet u dat de velden Naam, Beschrijving en Volglijstalias allemaal alleen-lezen zijn.

  6. Selecteer Op het tabblad Bron de optie Bladeren naar bestanden en selecteer het bestand dat u hebt gemaakt op basis van de sjabloon.

  7. Selecteer Volgende: Controleren en Maken>.

  8. Kijk of er een Azure-melding wordt weergegeven wanneer de volglijst wordt gemaakt.

Het kan enkele minuten duren voordat de volglijst is gemaakt en de nieuwe gegevens beschikbaar zijn in query's.

Een grote volglijst maken op basis van een bestand in Azure Storage (preview)

Als u een grote volglijst van maximaal 500 MB hebt, uploadt u het volglijstbestand naar uw Azure Storage-account. Maak vervolgens een handtekening-URL voor gedeelde toegang voor Microsoft Sentinel om de volglijstgegevens op te halen. Een handtekening-URL voor gedeelde toegang is een URI die zowel de resource-URI als het Shared Access Signature-token van een resource bevat, zoals een CSV-bestand in uw opslagaccount. Voeg tot slot de volglijst toe aan uw werkruimte in Microsoft Sentinel.

Zie het Shared Access Signature-token van Azure Storage voor meer informatie over handtekeningen voor gedeelde toegang.

Stap 1: Een volglijstbestand uploaden naar Azure Storage

Als u een groot volglijstbestand wilt uploaden naar uw Azure Storage-account, gebruikt u AzCopy of Azure Portal.

  1. Als u nog geen Azure Storage-account hebt, maakt u een opslagaccount. Het opslagaccount kan zich in een andere resourcegroep of regio bevinden vanuit uw werkruimte in Microsoft Sentinel.
  2. Gebruik AzCopy of Azure Portal om uw CSV-bestand met uw volglijstgegevens te uploaden naar het opslagaccount.

Uw bestand uploaden met AzCopy

Upload bestanden en mappen naar Blob Storage met behulp van het opdrachtregelprogramma AzCopy v10. Zie Bestanden uploaden naar Azure Blob Storage met behulp van AzCopy voor meer informatie.

  1. Als u nog geen opslagcontainer hebt, maakt u er een door de volgende opdracht uit te voeren.

    azcopy make 
    https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>
    
  2. Voer vervolgens de volgende opdracht uit om het bestand te uploaden.

    azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'
    

Uw bestand uploaden in Azure Portal

Als u AzCopy niet gebruikt, uploadt u uw bestand met behulp van Azure Portal. Ga naar uw opslagaccount in Azure Portal om het CSV-bestand te uploaden met uw volglijstgegevens.

  1. Als u nog geen bestaande opslagcontainer hebt, maakt u een container. Voor het niveau van openbare toegang tot de container raden we aan de standaardinstelling te zijn dat het niveau is ingesteld op Privé (geen anonieme toegang).
  2. Upload uw CSV-bestand naar het opslagaccount door een blok-blob te uploaden.

Stap 2: Handtekening-URL voor gedeelde toegang maken

Maak een handtekening-URL voor gedeelde toegang voor Microsoft Sentinel om de volglijstgegevens op te halen.

  1. Volg de stappen in SAS-tokens maken voor blobs in Azure Portal.
  2. Stel de vervaldatum van het handtekeningtoken voor gedeelde toegang in op minimaal 6 uur.
  3. Behoud de standaardwaarde voor toegestane IP-adressen als leeg.
  4. Kopieer de waarde voor blob-SAS-URL.

Stap 3: Azure toevoegen aan het tabblad CORS

Voordat u een SAS-URI gebruikt, voegt u Azure Portal toe aan cors (Cross Origin Resource Sharing).

  1. Ga naar de instellingen van het opslagaccount, de pagina Voor het delen van resources.
  2. Selecteer het tabblad Blob-service .
  3. Toevoegen https://*.portal.azure.net aan de tabel toegestane origins.
  4. Selecteer de juiste toegestane methoden van GET en OPTIONS.
  5. Sla de configuratie op.

Zie CORS-ondersteuning voor Azure Storage voor meer informatie.

Stap 4: De volglijst toevoegen aan een werkruimte

  1. Selecteer voor Microsoft Sentinel in Azure Portal onder Configuratie de optie Volglijst.
    Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Configuration>Watchlist.

  2. Selecteer + Nieuw.

    Schermopname van de volglijst toevoegen op de pagina Watchlist.

  3. Geef op de pagina Algemeen de naam, beschrijving en alias op voor de volglijst.

    Schermopname van het tabblad Algemeen volglijst met naam-, beschrijvings- en volglijstaliasvelden.

  4. Selecteer Volgende: Bron.

  5. Gebruik de informatie in de volgende tabel om uw volglijstgegevens te uploaden.

    Veld Beschrijving
    Brontype Azure Storage (preview)
    Selecteer een type voor de gegevensset CSV-bestand met een koptekst (.csv)
    Aantal regels vóór rij met koppen Voer het aantal regels in vóór de veldnamenrij in het gegevensbestand.
    SAS-URL voor blob (preview) Plak de URL voor gedeelde toegang die u hebt gemaakt.
    SearchKey Voer de naam in van een kolom in uw volglijst die u verwacht te gebruiken als join met andere gegevens of een frequent object met zoekopdrachten. Als uw server-watchlist bijvoorbeeld landnamen en hun respectieve tweeletterige landcodes bevat en u verwacht dat u de landcodes vaak gebruikt voor zoekopdrachten of joins, gebruikt u de kolom Code als zoeksleutel.

    Nadat u alle gegevens hebt ingevoerd, ziet uw pagina er ongeveer als volgt uit.

    Schermopname van de bronpagina van de volglijst met voorbeeldwaarden ingevoerd.

  6. Selecteer Volgende: Controleren en maken.

  7. Controleer de informatie, controleer of deze juist is, wacht totdat het bericht Validatie is geslaagd .

  8. Selecteer Maken.

Het kan even duren voordat een grote volglijst is gemaakt en de nieuwe gegevens beschikbaar zijn in query's.

Status van volglijst weergeven

Bekijk de status door de volglijst in uw werkruimte te selecteren.

  1. Selecteer voor Microsoft Sentinel in Azure Portal onder Configuratie de optie Volglijst.
    Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Configuration>Watchlist.

  2. Selecteer op het tabblad Mijn volglijsten de volglijst.

  3. Controleer de status (preview) op de detailpagina.

    Schermopname van de uploadstatus op de volglijst.

  4. Wanneer de status Is geslaagd, selecteert u Weergeven in Log Analytics om de volglijst in een query te gebruiken. Het kan enkele minuten duren voordat de volglijst wordt weergegeven in Log Analytics.

    Schermafbeelding van

Watchlist-sjabloon downloaden (preview)

Download een van de volglijstsjablonen van Microsoft Sentinel om uw gegevens te vullen. Upload dat bestand vervolgens wanneer u de volglijst in Microsoft Sentinel maakt.

Elke ingebouwde volglijstsjabloon heeft een eigen set gegevens die worden vermeld in het CSV-bestand dat aan de sjabloon is gekoppeld. Zie ingebouwde volglijstschema's voor meer informatie.

Als u een van de volglijstsjablonen wilt downloaden,

  1. Selecteer voor Microsoft Sentinel in Azure Portal onder Configuratie de optie Volglijst.
    Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Configuration>Watchlist.

  2. Selecteer de tabbladsjablonen (preview).

  3. Selecteer een sjabloon in de lijst om details van de sjabloon in het rechterdeelvenster weer te geven.

  4. Selecteer het beletselteken ... aan het einde van de rij.

  5. Selecteer Schema downloaden.

    Schermopname van het tabblad Sjablonen met het downloadschema geselecteerd.

  6. Vul uw lokale versie van het bestand in en sla het lokaal op als een CSV-bestand.

  7. Volg de stappen om de volglijst te uploaden die is gemaakt op basis van een sjabloon (preview).

Verwijderde en opnieuw gemaakte watchlists in de Log Analytics-weergave

Als u een volglijst verwijdert en opnieuw maakt, ziet u mogelijk zowel de verwijderde als de opnieuw gemaakte vermeldingen in Log Analytics binnen de SLA van vijf minuten voor gegevensopname. Als u deze vermeldingen gedurende langere tijd samen in Log Analytics ziet, dient u een ondersteuningsticket in.

Zie de volgende artikelen voor meer informatie over Microsoft Sentinel: