Criar listas de observação no Microsoft Sentinel

As listas de observação no Microsoft Sentinel ajudam-no a correlacionar dados de uma origem de dados que fornece com os eventos no seu ambiente de Microsoft Sentinel. Por exemplo, pode criar uma lista de observação com uma lista de ativos de valor elevado, funcionários terminados ou contas de serviço no seu ambiente.

Pode criar uma lista de observação com qualquer um dos seguintes métodos:

• Carregar um ficheiro de lista de observação a partir de uma pasta local
• Carregar um ficheiro de lista de observação a partir da sua conta de Armazenamento do Azure
• Criar uma lista de observação manualmente

Atualmente, pode carregar ficheiros locais com um tamanho máximo de 3,8 MB. Um ficheiro com mais de 3,8 MB e até 500 MB é considerado uma lista de observação grande. Para carregar uma lista de observação grande, carregue o ficheiro para uma conta de Armazenamento Azure. Antes de criar uma lista de observação, reveja as limitações das listas de observação.

Os dados na tabela da Lista de Observação do Log Analytics são retidos durante 28 dias.

Importante

As funcionalidades para modelos de lista de observação, a capacidade de criar uma lista de observação a partir de um ficheiro no Armazenamento Azure e a capacidade de criar uma lista de observação manualmente estão atualmente em PRÉ-VISUALIZAÇÃO. Os Termos Suplementares de Pré-visualização do Azure incluem termos legais adicionais que se aplicam a funcionalidades Azure que estão em beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.

Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte It's Time to Move: Retireing Microsoft Sentinel's portal do Azure for greater security (Está na altura de mover: extinguir portal do Azure de Microsoft Sentinel para maior segurança).

Carregar uma lista de observação a partir de uma pasta local

Tem duas formas de carregar um ficheiro CSV a partir do seu computador local para criar uma lista de observação.

• Para um ficheiro de lista de observação que criou sem um modelo de lista de observação: selecione Adicionar novo e introduza as informações necessárias.
• Para um ficheiro de lista de observação criado a partir de um modelo transferido a partir de Microsoft Sentinel: Aceda ao separador Modelos (Pré-visualização) da lista de observação. Selecione a opção Criar a partir do modelo. Azure preenche previamente o nome, a descrição e o alias da lista de observação.

Carregar uma lista de observação a partir de um ficheiro que criou

Se não utilizou um modelo de lista de observação para criar o seu ficheiro:

1. No portal do Defender, aceda a Microsoft Sentinel>Configuração>da Lista de Observação.

2. Selecione + Novo para abrir o assistente lista de observação.

   

3. Na página Geral , introduza o nome, a descrição e o alias da lista de observação e, em seguida, selecione Seguinte: Origem.

   

4. Na página Origem , utilize as informações na tabela seguinte para carregar os dados da lista de observação e, em seguida, selecione Seguinte: Rever + criar.

   Campo	Descrição
   Tipo de origem	Ficheiro local
   Tipo de ficheiro	Ficheiro CSV com um cabeçalho (.csv)
   Número de linhas antes da linha com cabeçalhos	Introduza o número de linhas antes da linha de cabeçalho que está no ficheiro de dados.
   Carregar ficheiro	Arraste e largue o ficheiro de dados ou selecione Procurar ficheiros e selecione o ficheiro a carregar.
   SearchKey	Introduza o nome de uma coluna na sua lista de observação que espera utilizar como associação a outros dados ou a um objeto frequente de pesquisas. Por exemplo, se a lista de observação do servidor contiver nomes de país/região e os respetivos códigos de país de duas letras e esperar utilizar frequentemente os códigos de país para pesquisa ou associações, utilize a coluna Código como SearchKey.

   Nota

   Se o ficheiro CSV tiver mais de 3,8 MB, terá de utilizar as instruções para Criar uma lista de observação grande a partir do ficheiro no Armazenamento Azure.

   

5. Reveja as informações, verifique se está correta e, em seguida, selecione Criar.

   

   É apresentada uma notificação assim que a lista de observação é criada.

A criação da lista de observação pode demorar vários minutos e a disponibilização dos novos dados nas consultas.

Carregar uma lista de observação criada a partir de um modelo (pré-visualização)

Para criar uma lista de observação a partir de um modelo que preencheu:

1. No portal do Defender, aceda a Microsoft Sentinel>Configuração>da Lista de Observação.

2. Selecione o separador Modelos (Pré-visualização).

3. Selecione o modelo adequado na lista para ver os detalhes do modelo no painel direito.

4. Selecione Criar a partir do modelo para abrir o assistente lista de observação.

   

5. Na página Geral , repare que os campos Nome, Descrição e Alias são todos só de leitura. Selecione Seguinte: Origem.

6. Na página Origem , selecione Procurar ficheiros e, em seguida, selecione o ficheiro que criou a partir do modelo.

7. Selecione Seguinte: Rever + criar e, em seguida, selecione Criar. É apresentada uma notificação assim que a lista de observação é criada.

A criação da lista de observação pode demorar vários minutos e a disponibilização dos novos dados nas consultas.

Criar uma lista de observação grande a partir de um ficheiro no Armazenamento do Azure (pré-visualização)

Se tiver uma lista de observação de até 500 MB de tamanho, carregue o ficheiro da lista de observação para a sua conta de armazenamento Azure. Em seguida, crie um URL de assinatura de acesso partilhado para Microsoft Sentinel obter os dados da lista de observação. Um URL de assinatura de acesso partilhado é um URI que contém o URI do recurso e o token de assinatura de acesso partilhado de um recurso, como um ficheiro CSV na sua conta de armazenamento. Por fim, adicione a lista de observação à área de trabalho no Microsoft Sentinel.

Para obter mais informações sobre assinaturas de acesso partilhado, veja Azure Token de assinatura de acesso partilhado do Armazenamento.

Passo 1: Carregar um ficheiro de lista de observação para Azure Armazenamento

Para carregar um ficheiro de lista de observação grande para a sua conta de Armazenamento do Azure, utilize o AzCopy ou o portal do Azure.

1. Se ainda não tiver uma conta de Armazenamento Azure, crie uma conta de armazenamento. A conta de armazenamento pode estar num grupo de recursos ou região diferente da área de trabalho no Microsoft Sentinel.
2. Utilize o AzCopy ou o portal do Azure para carregar o ficheiro CSV com os dados da lista de observação para a conta de armazenamento.

Carregar o ficheiro com o AzCopy

Carregue ficheiros e diretórios para o armazenamento de Blobs com o utilitário de linha de comandos AzCopy v10. Para saber mais, veja Carregar ficheiros para Azure armazenamento de Blobs com o AzCopy.

1. Se ainda não tiver um contentor de armazenamento, crie um ao executar o seguinte comando.

   azcopy make 
   https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>
   

2. Em seguida, execute o seguinte comando para carregar o ficheiro.

   azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'
   

Carregar o ficheiro no portal do Azure

Se não utilizar o AzCopy, carregue o ficheiro com o portal do Azure. Aceda à sua conta de armazenamento no portal do Azure para carregar o ficheiro CSV com os dados da lista de observação.

1. Se ainda não tiver um contentor de armazenamento existente, crie um contentor. Para o nível de acesso público ao contentor, utilize a predefinição que está definida como Privado (sem acesso anónimo).
2. Carregue um blob de blocos para carregar o ficheiro CSV para a conta de armazenamento.

Passo 2: Criar URL de assinatura de acesso partilhado

Crie um URL de assinatura de acesso partilhado para Microsoft Sentinel obter os dados da lista de observação.

1. Siga os passos em Criar tokens SAS para blobs no portal do Azure.
2. Defina o tempo de expiração do token de assinatura de acesso partilhado para, pelo menos, seis horas.
3. Mantenha o valor predefinido para Endereços IP permitidos em branco.
4. Copie o valor para o URL de SAS do Blob.

Passo 3: Adicionar Azure ao separador CORS

Antes de utilizar um URI de SAS, adicione o portal do Azure à Partilha de Recursos transversais à Origem (CORS).

1. Aceda às definições da conta de armazenamento, página Partilha de recursos.
2. Selecione o separador Serviço Blob .
3. Adicione https://*.portal.azure.net à tabela de origens permitidas.
4. Selecione os métodos permitidos adequados de GET e OPTIONS.
5. Guarde a configuração.

Para obter mais informações, veja Suporte de CORS para armazenamento Azure.

Passo 4: adicionar a lista de observação a uma área de trabalho

1. No portal do Defender, aceda a Microsoft Sentinel>Configuração>da Lista de Observação.

2. Selecione + Novo para abrir o assistente lista de observação.

3. Na página Geral , introduza o nome, a descrição e o alias da lista de observação e, em seguida, selecione Seguinte: Origem.

4. Na página Origem , utilize as informações na tabela seguinte para carregar os dados da lista de observação e, em seguida, selecione Seguinte: Rever + criar.

   Campo	Descrição
   Tipo de origem	Armazenamento Azure (Pré-visualização)
   Selecionar um tipo para o conjunto de dados	Ficheiro CSV com um cabeçalho (.csv)
   Número de linhas antes da linha com cabeçalhos	Introduza o número de linhas antes da linha de cabeçalho que está no ficheiro de dados.
   URL de SAS de Blob (Pré-visualização)	Cole o URL de acesso partilhado que criou.
   SearchKey	Introduza o nome de uma coluna na sua lista de observação que espera utilizar como associação a outros dados ou a um objeto frequente de pesquisas. Por exemplo, se a lista de observação do servidor contiver nomes de país/região e os respetivos códigos de país de duas letras e esperar utilizar frequentemente os códigos de país para pesquisa ou associações, utilize a coluna Código como SearchKey.

5. Reveja as informações, verifique se está correta e, em seguida, selecione Criar. É apresentada uma notificação assim que a lista de observação é criada.

A criação de uma lista de observação grande poderá demorar algum tempo e a disponibilização dos novos dados nas consultas.

Criar uma lista de observação manualmente (pré-visualização)

Para criar uma lista de observação do zero:

1. No portal do Defender, aceda a Microsoft Sentinel>Configuração>da Lista de Observação.

2. Selecione + Novo para abrir o assistente lista de observação.

3. Na página Geral , introduza o nome, a descrição e o alias da lista de observação e, em seguida, selecione Seguinte: Origem.

4. Na página Origem , selecione Manual (Pré-visualização) como o Tipo de origem.

5. Adicione e defina os nomes das colunas da sua lista de observação. Escolha a coluna que serve de Chave de Pesquisa. Esta chave é a coluna na lista de observação que espera utilizar como associação a outros dados ou a um objeto frequente de pesquisas.

   

6. Selecione Seguinte: Rever + criar.

7. Reveja as informações, verifique se está correta e, em seguida, selecione Criar. É apresentada uma notificação assim que a lista de observação é criada.

A criação da lista de observação pode demorar vários minutos e a disponibilização dos novos dados nas consultas.

Nota

As listas de observação que criar manualmente contêm automaticamente uma única entrada que utiliza valores predefinidos. Pode atualizar esta entrada conforme necessário. Para obter mais informações, veja Gerir listas de observação.

Ver estado da lista de observação

Para ver o estado de uma lista de observação na área de trabalho:

1. No portal do Defender, aceda a Microsoft Sentinel>Configuração>da Lista de Observação.

2. No separador As Minhas Listas de Observação , selecione a lista de observação.

3. Na página de detalhes, reveja o Estado (Pré-visualização).

   

4. Quando o estado for Bem-sucedido, selecione Ver nos registos para utilizar a lista de observação numa consulta. A apresentação da lista de observação no Log Analytics poderá demorar vários minutos.

   

Transferir modelo de lista de observação (pré-visualização)

Transfira um dos modelos da lista de observação do Microsoft Sentinel para preencher com os seus dados. Em seguida, carregue esse ficheiro quando criar a lista de observação no Microsoft Sentinel.

Cada modelo de lista de observação incorporado tem o seu próprio conjunto de dados listados no ficheiro CSV anexado ao modelo. Para obter mais informações, veja Esquemas de lista de observação incorporados.

Para transferir um dos modelos da lista de observação:

1. No portal do Defender, aceda a Microsoft Sentinel>Configuração>da Lista de Observação.

2. Selecione o separador Modelos (Pré-visualização).

3. Selecione um modelo na lista para ver os detalhes do modelo no painel direito.

4. Selecione as reticências ... no final da linha.

5. Selecione Transferir Esquema.

   

6. Preencha a sua versão local do ficheiro e guarde-a localmente como um ficheiro CSV.

7. Siga os passos para carregar a lista de observação criada a partir de um modelo (Pré-visualização).

Listas de observação eliminadas e recriadas na vista do Log Analytics

Se eliminar e recriar uma lista de observação, poderá ver as entradas eliminadas e recriadas no Log Analytics no SLA de cinco minutos para ingestão de dados. Se vir estas entradas juntas no Log Analytics durante um período de tempo mais longo, submeta um pedido de suporte.

Conteúdos relacionados

Para saber mais sobre Microsoft Sentinel, consulte os seguintes artigos:

• Saiba como obter visibilidade sobre os seus dados e potenciais ameaças
• Introdução à deteção de ameaças com Microsoft Sentinel
• Utilize livros para monitorizar os seus dados.
• Gerir listas de observação
• Criar consultas e regras de deteção com listas de observação