Создание списков отслеживания в Microsoft Sentinel

Списки наблюдения в Microsoft Sentinel помогают сопоставлять данные из источника данных, который вы предоставляете с событиями в среде Microsoft Sentinel. Например, вы можете создать список для мониторинга, содержащий ценные активы, уволенных сотрудников или служебные учетные записи в вашей среде.

Список наблюдения можно создать с помощью любого из следующих методов:

• Отправка файла списка отслеживания из локальной папки
• Отправка файла списка отслеживания из учетной записи хранения Azure
• Создание списка отслеживания вручную

В настоящее время можно отправлять локальные файлы размером до 3,8 МБ. Файл размером более 3,8 МБ и до 500 МБ считается большим списком наблюдения. Чтобы отправить большой список наблюдения, отправьте файл в учетную запись хранения Azure. Перед созданием списка видео к просмотру ознакомьтесь с ограничениями.

Данные в таблице "Контрольный список Log Analytics" хранятся в течение 28 дней.

Внимание

Функции шаблонов списков отслеживания, возможность создания списка отслеживания из файла в службе хранилища Azure и возможность создания списка отслеживания вручную находятся в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с июля 2025 года многие новые клиенты автоматически подключены и перенаправляются на портал Defender.

Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье " Время перемещения: выход из эксплуатации портала Azure Microsoft Sentinel" для повышения безопасности.

Отправка списка видео к просмотру из локальной папки

Существует два способа отправить CSV-файл с локального компьютера, чтобы создать список видео к просмотру.

• Для файла списка наблюдения, созданного без шаблона списка наблюдения: выберите "Добавить новую " и введите необходимые сведения.
• Для файла списка отслеживания, созданного из шаблона , скачаного из Microsoft Sentinel: перейдите на вкладку "Шаблоны списков просмотра" (предварительная версия). Выберите параметр Create from template. Azure автоматически заполняет имя, описание и алиас списка наблюдения.

Отправка списка наблюдения из созданного файла

Если для создания файла не использовался шаблон списка наблюдения:

1. На портале Defender перейдите в Microsoft Sentinel>Конфигурации>список отслеживания.

2. Нажмите + Новый, чтобы открыть мастер настройки списка наблюдения.

   

3. На странице "Общие " введите имя, описание и псевдоним списка наблюдения, а затем нажмите кнопку "Далее: Источник".

   

4. На странице "Источник " используйте сведения в следующей таблице для отправки данных списка наблюдения, а затем нажмите кнопку "Далее: Просмотр и создание".

   Поле	Описание
   Тип источника	Локальный файл
   Тип файла	CSV-файл с заголовком (.csv)
   Число строк перед строкой с заголовками	Введите число строк перед строкой заголовка в файле данных.
   Отправить файл	Либо перетащите файл данных, либо щелкните Обзор файлов и выберите файл для отправки.
   Ключ поиска	Введите имя столбца в списке наблюдения, который вы планируете использовать для объединения с другими данными или часто используемыми объектами поиска. Например, если список отслеживания сервера содержит имена стран или регионов и соответствующие коды стран с двумя буквами, и вы ожидаете, что коды стран часто используются для поиска или присоединения, используйте столбец Code в качестве searchKey.

   Примечание.

   Если РАЗМЕР CSV-файла превышает 3,8 МБ, необходимо использовать инструкции по созданию большого списка наблюдения из файла в службе хранилища Azure.

   

5. Просмотрите сведения, убедитесь, что это правильно, а затем нажмите кнопку "Создать".

   

   После того как список отслеживания будет создан, появится соответствующее уведомление.

Может понадобиться подождать несколько минут, пока список видео к просмотру будет создан и новые данные станут доступны в запросах.

Отправка списка наблюдения, созданного из шаблона (предварительная версия)

Чтобы создать список отслеживания из заполненного шаблона, выполните следующие действия.

1. На портале Defender перейдите в Microsoft Sentinel>Конфигурации>список отслеживания.

2. Перейдите на вкладку Шаблоны (предварительная версия).

3. Выберите подходящий шаблон из списка, чтобы просмотреть сведения о нем в правой области.

4. Выберите Создать из шаблона, чтобы открыть мастер создания списка наблюдения.

   

5. На странице "Общие " обратите внимание, что поля "Имя", " Описание" и "Псевдоним" доступны только для чтения. Выберите Далее: Источник.

6. На странице "Источник " выберите "Обзор файлов", а затем выберите файл, созданный на основе шаблона.

7. Нажмите кнопку "Далее": просмотр и создание, а затем нажмите кнопку "Создать". После того как список отслеживания будет создан, появится соответствующее уведомление.

Может понадобиться подождать несколько минут, пока список видео к просмотру будет создан и новые данные станут доступны в запросах.

Создание большого списка видео к просмотру из файла в службе хранилища Azure (предварительная версия)

Если у вас большой список видео к просмотру (до 500 МБ), отправьте файл с ним в учетную запись службы хранилища Azure. Затем создайте URL с подписью для общего доступа, по которому Microsoft Sentinel сможет получить данные списка наблюдения. URL с общей подписью доступа — это URI, который содержит как URI ресурса, так и токен общей подписи доступа ресурса, например, CSV-файла в вашей учетной записи хранения. Наконец, добавьте список наблюдения в рабочую область Microsoft Sentinel.

Дополнительные сведения о маркерах разрешений для общего доступа см. в статье Маркер разрешений для общего доступа к хранилищу Azure.

Шаг 1. Отправка файла со списком видео к просмотру в службу хранилища Azure

Чтобы отправить большой файл со списком видео к просмотру в учетную запись службы хранилища Azure, используйте команду AzCopy или портал Azure.

1. Если у вас еще нет учетной записи службы хранилища Azure, создайте ее. Учетная запись хранения и рабочая область Microsoft Sentinel могут находиться в разных группах ресурсов или регионах.
2. Используйте AzCopy или портал Azure для отправки CSV-файла с данными списка наблюдения в учетную запись хранения.

Отправка файла с помощью AzCopy

Отправляйте файлы и каталоги в хранилище BLOB-объектов с помощью служебной программы командной строки AzCopy версии 10. Дополнительные сведения см. в статье Отправка файлов в хранилище BLOB-объектов Azure с помощью AzCopy.

1. Если у вас еще нет контейнера для хранения, создайте его, выполнив указанную ниже команду.

   azcopy make 
   https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>
   

2. Затем выполните приведенную ниже команду, чтобы передать файл.

   azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'
   

Отправка файла на портале Azure

Если вы не используете AzCopy, отправьте файл с помощью портала Azure. Перейдите к учетной записи хранения на портале Azure, чтобы отправить CSV-файл с данными списка наблюдения.

1. Если у вас еще нет существующего контейнера для хранения, создайте контейнер. Для уровня общедоступного доступа к контейнеру используйте значение по умолчанию, которое имеет значение Private (без анонимного доступа).
2. Загрузите блочный BLOB-объект, чтобы загрузить ваш CSV-файл в учетную запись хранения.

Шаг 2: Создание URL-адреса с подписью для общего доступа

Создайте URL-адрес с общей подписью доступа, чтобы Microsoft Sentinel мог получить данные из списка наблюдения.

1. Выполните инструкции из раздела Создание маркеров SAS для больших двоичных объектов на портале Azure.
2. Задайте время истечения токена общей подписи как минимум на шесть часов вперед.
3. Сохраните значение по умолчанию для разрешенных IP-адресов пустым .
4. Скопируйте значение для Blob SAS URL.

Шаг 3. Добавление Azure на вкладку CORS

Перед использованием URI SAS, добавьте портал Azure в общий доступ к ресурсам из разных источников (CORS).

1. Перейдите на страницу параметров учетной записи хранения, страницу общего доступа к ресурсам.
2. Перейдите на вкладку "Служба BLOB-объектов".
3. Добавьте https://*.portal.azure.net в таблицу разрешенных источников.
4. Выберите соответствующие методы разрешенные для GET и OPTIONS.
5. Сохраните конфигурацию.

Дополнительные сведения см. в разделе о поддержке CORS для службы хранилища Azure.

Шаг 4. Добавление списка наблюдения в рабочую область

1. На портале Defender перейдите в Microsoft Sentinel>Конфигурации>список отслеживания.

2. Нажмите + Новый, чтобы открыть мастер настройки списка наблюдения.

3. На странице "Общие " введите имя, описание и псевдоним списка наблюдения, а затем нажмите кнопку "Далее: Источник".

4. На странице "Источник " используйте сведения в следующей таблице для отправки данных списка наблюдения, а затем нажмите кнопку "Далее: Просмотр и создание".

   Поле	Описание
   Тип источника	Служба хранилища Azure (предварительная версия)
   Выберите тип набора данных	CSV-файл с заголовком (.csv)
   Число строк перед строкой с заголовками	Введите число строк перед строкой заголовка в файле данных.
   Подписанный URL-адрес BLOB-объекта (предварительная версия)	Вставьте созданный URL-адрес общего доступа.
   Ключ поиска	Введите имя столбца в списке наблюдения, который вы планируете использовать для объединения с другими данными или часто используемыми объектами поиска. Например, если список отслеживания сервера содержит имена стран или регионов и соответствующие коды стран с двумя буквами, и вы ожидаете, что коды стран часто используются для поиска или присоединения, используйте столбец Code в качестве searchKey.

5. Просмотрите сведения, убедитесь, что это правильно, а затем нажмите кнопку "Создать". После того как список отслеживания будет создан, появится соответствующее уведомление.

Может потребоваться некоторое время для создания большого списка наблюдения и для того, чтобы новые данные были доступны в запросах.

Создание списка отслеживания вручную (предварительная версия)

Чтобы создать список наблюдения с нуля:

1. На портале Defender перейдите в Microsoft Sentinel>Конфигурации>список отслеживания.

2. Нажмите + Новый, чтобы открыть мастер настройки списка наблюдения.

3. На странице "Общие " введите имя, описание и псевдоним списка наблюдения, а затем нажмите кнопку "Далее: Источник".

4. На исходной странице выберите "Вручную" (предварительная версия) в качестве типа источника.

5. Добавьте и определите имена столбцов для списка наблюдения. Выберите столбец, который служит ключом поиска. Этот ключ — это столбец в списке наблюдения, который вы ожидаете использовать в качестве соединения с другими данными или частым объектом поиска.

   

6. Нажмите кнопку "Далее": проверка и создание.

7. Просмотрите сведения, убедитесь, что это правильно, а затем нажмите кнопку "Создать". После того как список отслеживания будет создан, появится соответствующее уведомление.

Может понадобиться подождать несколько минут, пока список видео к просмотру будет создан и новые данные станут доступны в запросах.

Примечание.

Списки наблюдения, создаваемые вручную, содержат одну запись, которая использует значения по умолчанию. Эту запись можно обновить по мере необходимости. Дополнительные сведения см. в разделе "Управление списками наблюдения".

Просмотр состояния списка отслеживания

Чтобы просмотреть состояние списка наблюдения в рабочей области, выполните следующие действия.

1. На портале Defender перейдите в Microsoft Sentinel>Конфигурации>список отслеживания.

2. На вкладке Мои списки видео к просмотру выберите список видео к просмотру.

3. На странице подробных сведений проверьте состояние (предварительная версия).

   

4. Когда состояние выполнено успешно, выберите "Вид" в журналах , чтобы использовать список наблюдения в запросе. Список видео к просмотру может появиться в Log Analytics в течение нескольких минут.

   

Скачивание шаблона списка видео к просмотру (предварительная версия)

Скачайте один из шаблонов списков видео к просмотру из Microsoft Sentinel, чтобы заполнить его данными. Затем отправьте этот файл при создании списка видео к просмотру в Microsoft Sentinel.

Каждый встроенный шаблон списка видео к просмотру обладает собственным набором данных, перечисленных в CSV-файле, присоединенном к шаблону. См. статью Встроенные схемы списка отслеживания для получения дополнительных сведений.

Чтобы скачать один из шаблонов списка наблюдения, выполните следующие действия.

1. На портале Defender перейдите в Microsoft Sentinel>Конфигурации>список отслеживания.

2. Перейдите на вкладку Шаблоны (предварительная версия).

3. Выберите шаблон из списка, чтобы просмотреть сведения о нем в правой области.

4. Щелкните значок многоточия (...) в конце строки.

5. Выберите пункт Скачать схему.

   

6. Заполните локальную версию файла и сохраните ее локально в виде CSV-файла.

7. Выполните инструкции по отправке списка видео к просмотру, созданного на основе шаблона (предварительная версия).

Удалённые и повторно созданные списки наблюдения в разделе 'Log Analytics'

Если вы удаляете и заново создаёте список наблюдения, в Log Analytics в рамках SLA на пяти минут для приема данных могут отображаться как удалённые, так и заново созданные записи. Если эти записи отображаются одновременно в Log Analytics дольше, отправьте запрос в службу поддержки.

Связанный контент

Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:

• Узнайте, как отслеживать свои данные и потенциальные угрозы.
• Узнайте, как приступить к обнаружению угроз с помощью Microsoft Sentinel.
• Используйте рабочие книги для мониторинга данных.
• Управление списками видео к просмотру
• Создание запросов и правил обнаружения с помощью списков наблюдения