Volglijsten maken in Microsoft Sentinel

  • Artikel

Met volglijsten in Microsoft Sentinel kunt u gegevens uit een gegevensbron die u opgeeft correleren met de gebeurtenissen in uw Microsoft Sentinel-omgeving. U kunt bijvoorbeeld een volglijst maken met een lijst met waardevolle activa, beëindigde werknemers of serviceaccounts in uw omgeving.

Upload een volglijstbestand vanuit een lokale map of vanuit uw Azure Storage-account. Als u een volglijstbestand wilt maken, kunt u een van de volglijstsjablonen van Microsoft Sentinel downloaden om uw gegevens in te vullen. Upload dat bestand vervolgens wanneer u de volglijst maakt in Microsoft Sentinel.

Lokale bestandsuploads zijn momenteel beperkt tot bestanden van maximaal 3,8 MB. Als u een groot volglijstbestand hebt dat maximaal 500 MB groot is, uploadt u het bestand naar uw Azure Storage-account. Bekijk de beperkingen van volglijsten voordat u een volglijst maakt.

Wanneer u een volglijst maakt, moeten de naam en alias van de volglijst elk tussen 3 en 64 tekens bevatten. Het eerste en laatste teken moeten alfanumeriek zijn. Maar u kunt witruimten, afbreekstreepjes en onderstrepingstekens opnemen tussen de eerste en laatste tekens.

Belangrijk

De functies voor volglijstsjablonen en de mogelijkheid om een volglijst te maken op basis van een bestand in Azure Storage zijn momenteel in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Een volglijst uploaden vanuit een lokale map

U kunt op twee manieren een CSV-bestand uploaden vanaf uw lokale computer om een volglijst te maken.

  • Voor een volglijstbestand dat u hebt gemaakt zonder een volglijstsjabloon: selecteer Nieuwe toevoegen en voer de vereiste gegevens in.
  • Voor een volglijstbestand dat is gemaakt op basis van een sjabloon die is gedownload van Microsoft Sentinel: ga naar het tabblad Volglijstsjablonen (preview). Selecteer de optie Maken op basis van sjabloon. Azure vult de naam, beschrijving en volglijstalias vooraf voor u in.

Volglijst uploaden vanuit een bestand dat u hebt gemaakt

Als u geen volglijstsjabloon hebt gebruikt om uw bestand te maken,

  1. Ga in de Azure Portal naar Microsoft Sentinel en selecteer de juiste werkruimte.

  2. Selecteer onder Configuratiede optie Volglijst.

  3. Selecteer + Nieuwe toevoegen.

    Schermopname van de optie Volglijst toevoegen op de pagina Volglijst.

  4. Geef op de pagina Algemeen de naam, beschrijving en alias op voor de volglijst.

    Schermopname van het tabblad Volglijst algemeen in de wizard Volglijsten.

  5. Selecteer Volgende: Bron.

  6. Gebruik de informatie in de volgende tabel om uw volglijstgegevens te uploaden.

    Veld Beschrijving
    Selecteer een type voor de gegevensset CSV-bestand met een koptekst (.csv)
    Aantal regels voor rij met koppen Voer het aantal regels in voor de veldnamenrij in het gegevensbestand.
    Bestand uploaden Sleep het gegevensbestand of selecteer Bladeren naar bestanden en selecteer het bestand dat u wilt uploaden.
    SearchKey Voer de naam in van een kolom in uw volglijst die u verwacht te gebruiken als join met andere gegevens of als een veelgebruikt object van zoekopdrachten. Als de volglijst van de server bijvoorbeeld landnamen en hun respectieve tweeletterige landcodes bevat en u verwacht de landcodes vaak te gebruiken voor zoekopdrachten of joins, gebruikt u de kolom Code als zoeksleutel.

  7. Selecteer Volgende: Controleren en maken.

    Schermopname van het brontabblad van de volglijst.

  8. Controleer de informatie, controleer of deze juist is, wacht tot het bericht Validatie is geslaagd en selecteer vervolgens Maken.

    Schermopname van de controlepagina van de volglijst.

    Er wordt een melding weergegeven zodra de volglijst is gemaakt.

Het kan enkele minuten duren voordat de volglijst is gemaakt en de nieuwe gegevens beschikbaar zijn in query's.

Volglijst uploaden die is gemaakt op basis van een sjabloon (preview)

Als u de volglijst wilt maken op een sjabloon die u hebt ingevuld,

  1. Selecteer In de juiste werkruimte in Microsoft Sentinel de optie Volglijst.

  2. Selecteer het tabblad Sjablonen (preview).

  3. Selecteer de juiste sjabloon in de lijst om details van de sjabloon in het rechterdeelvenster weer te geven.

  4. Selecteer Maken op basis van sjabloon.

    Schermopname van de optie voor het maken van een volglijst op basis van een ingebouwde sjabloon.

  5. Op het tabblad Algemeen ziet u dat de velden Naam, Beschrijving en Volglijstalias allemaal alleen-lezen zijn.

  6. Selecteer op het tabblad Bronde optie Bladeren naar bestanden en selecteer het bestand dat u hebt gemaakt op basis van de sjabloon.

  7. Selecteer Volgende: Controleren en Maken>.

  8. Let op of er een Azure-melding wordt weergegeven wanneer de volglijst wordt gemaakt.

Het kan enkele minuten duren voordat de volglijst is gemaakt en de nieuwe gegevens beschikbaar zijn in query's.

Een grote volglijst maken van een bestand in Azure Storage (preview)

Als u een grote volglijst van maximaal 500 MB hebt, uploadt u het volglijstbestand naar uw Azure Storage-account. Maak vervolgens een Shared Access Signature-URL voor Microsoft Sentinel om de volglijstgegevens op te halen. Een SHARED Access Signature-URL is een URI die zowel de resource-URI als het shared access signature-token bevat van een resource, zoals een CSV-bestand in uw opslagaccount. Voeg ten slotte de volglijst toe aan uw werkruimte in Microsoft Sentinel.

Zie Azure Storage Shared Access Signature-token voor meer informatie over handtekeningen voor gedeelde toegang.

Stap 1: een volglijstbestand uploaden naar Azure Storage

Als u een groot volglijstbestand wilt uploaden naar uw Azure Storage-account, gebruikt u AzCopy of de Azure Portal.

  1. Als u nog geen Azure Storage-account hebt, maakt u een opslagaccount. Het opslagaccount kan zich in een andere resourcegroep of regio bevinden dan uw werkruimte in Microsoft Sentinel.
  2. Gebruik AzCopy of de Azure Portal om uw CSV-bestand met uw volglijstgegevens te uploaden naar het opslagaccount.

Uw bestand uploaden met AzCopy

Upload bestanden en mappen naar Blob Storage met behulp van het azcopy v10-opdrachtregelprogramma. Zie Bestanden uploaden naar Azure Blob Storage met behulp van AzCopy voor meer informatie.

  1. Als u nog geen opslagcontainer hebt, maakt u er een door de volgende opdracht uit te voeren.

    azcopy make 
https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>

  2. Voer vervolgens de volgende opdracht uit om het bestand te uploaden.

    azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'

Uw bestand uploaden in Azure Portal

Als u AzCopy niet gebruikt, uploadt u het bestand met behulp van de Azure Portal. Ga naar uw opslagaccount in Azure Portal om het CSV-bestand te uploaden met uw volglijstgegevens.

  1. Als u nog geen bestaande opslagcontainer hebt, maakt u een container. Voor het niveau van openbare toegang tot de container raden we de standaardinstelling aan dat het niveau is ingesteld op Privé (geen anonieme toegang).
  2. Upload uw CSV-bestand naar het opslagaccount door een blok-blob te uploaden.

Stap 2: Shared Access Signature-URL maken

Maak een SHARED Access Signature-URL voor Microsoft Sentinel om de volglijstgegevens op te halen.

  1. Volg de stappen in SAS-tokens voor blobs maken in de Azure Portal.
  2. Stel de verlooptijd van het Shared Access Signature-token in op minimaal 6 uur.
  3. Kopieer de waarde voor blob-SAS-URL.

Stap 3: De volglijst toevoegen aan een werkruimte

  1. Ga in de Azure Portal naar Microsoft Sentinel en selecteer de juiste werkruimte.

  2. Selecteer onder Configuratiede optie Volglijst.

  3. Selecteer + Nieuwe toevoegen.

    Schermopname van de volglijst toevoegen op de pagina Volglijst.

  4. Geef op de pagina Algemeen de naam, beschrijving en alias op voor de volglijst.

    Schermopname van het tabblad Algemeen volglijst met de velden naam, beschrijving en volglijstalias.

  5. Selecteer Volgende: Bron.

  6. Gebruik de informatie in de volgende tabel om uw volglijstgegevens te uploaden.

    Veld Beschrijving
    Brontype Azure Storage (preview)
    Selecteer een type voor de gegevensset CSV-bestand met een koptekst (.csv)
    Aantal regels vóór rij met koppen Voer het aantal regels in voor de veldnamenrij in het gegevensbestand.
    Blob SAS-URL (preview) Plak de URL voor gedeelde toegang die u hebt gemaakt.
    SearchKey Voer de naam in van een kolom in uw volglijst die u verwacht te gebruiken als een join met andere gegevens of een frequent zoekobject. Als de volglijst van de server bijvoorbeeld landnamen en hun respectieve tweeletterige landcodes bevat en u verwacht de landcodes vaak te gebruiken voor zoekopdrachten of joins, gebruikt u de kolom Code als de zoeksleutel.

    Nadat u alle gegevens hebt ingevoerd, ziet uw pagina er ongeveer uit als de volgende afbeelding.

    Schermopname van de bronpagina van de volglijst met ingevoerde voorbeeldwaarden.

  7. Selecteer Volgende: Controleren en maken.

  8. Controleer de informatie, controleer of deze juist is en wacht tot het bericht Validatie is geslaagd .

  9. Selecteer Maken.

Het kan even duren voordat een grote volglijst is gemaakt en de nieuwe gegevens beschikbaar zijn in query's.

Status van volglijst weergeven

Bekijk de status door de volglijst in uw werkruimte te selecteren.

  1. Ga in de Azure Portal naar Microsoft Sentinel en selecteer de juiste werkruimte.

  2. Selecteer onder Configuratiede optie Volglijst.

  3. Selecteer de volglijst op het tabblad Mijn volglijsten .

  4. Bekijk de status (preview) op de pagina met details.

    Schermopname van de uploadstatus op de volglijst.

  5. Wanneer de status Geslaagd is, selecteert u Weergeven in Log Analytics om de volglijst in een query te gebruiken. Het kan enkele minuten duren voordat de volglijst wordt weergegeven in Log Analytics.

    Schermopname van

Volglijstsjabloon downloaden (preview)

Download een van de volglijstsjablonen van Microsoft Sentinel om uw gegevens te vullen. Upload dat bestand vervolgens wanneer u de volglijst maakt in Microsoft Sentinel.

Elke ingebouwde volglijstsjabloon heeft een eigen set gegevens die worden vermeld in het CSV-bestand dat aan de sjabloon is gekoppeld. Zie Ingebouwde volglijstschema's voor meer informatie.

Als u een van de volglijstsjablonen wilt downloaden,

  1. Ga in de Azure Portal naar Microsoft Sentinel en selecteer de juiste werkruimte.

  2. Selecteer onder Configuratiede optie Volglijst.

  3. Selecteer het tabblad Sjablonen (preview).

  4. Selecteer een sjabloon in de lijst om de details van de sjabloon in het rechterdeelvenster weer te geven.

  5. Selecteer het beletselteken ... aan het einde van de rij.

  6. Selecteer Schema downloaden.

    Schermopname van het tabblad Sjablonen met het downloadschema geselecteerd.

  7. Vul de lokale versie van het bestand in en sla het lokaal op als een CSV-bestand.

  8. Volg de stappen voor het uploaden van een volglijst die is gemaakt op basis van een sjabloon (preview).

Verwijderde en opnieuw gemaakte volglijsten in de Log Analytics-weergave

Als u een volglijst verwijdert en opnieuw maakt, ziet u mogelijk zowel de verwijderde als de opnieuw gemaakte vermeldingen in Log Analytics binnen de SLA van vijf minuten voor gegevensopname. Als u deze vermeldingen voor een langere periode samen in Log Analytics ziet, dient u een ondersteuningsticket in.

Volgende stappen

Zie de volgende artikelen voor meer informatie over Microsoft Sentinel: