Skapa bevakningslistor i Microsoft Sentinel

• Gäller för:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Med bevakningslistor i Microsoft Sentinel kan du korrelera data från en datakälla som du tillhandahåller med händelserna i din Microsoft Sentinel-miljö. Du kan till exempel skapa en visningslista med en lista över tillgångar med högt värde, avslutade anställda eller tjänstkonton i din miljö.

Ladda upp en visningslista från en lokal mapp eller från ditt Azure Storage-konto. Om du vill skapa en bevakningslista har du möjlighet att ladda ned en av bevakningslistmallarna från Microsoft Sentinel för att fylla i med dina data. Ladda sedan upp filen när du skapar visningslistan i Microsoft Sentinel.

Lokala filuppladdningar är för närvarande begränsade till filer med en storlek på upp till 3,8 MB. En fil som är över 3,8 MB stor och upp till 500 MB anses vara en stor visningslista. Ladda upp filen till ett Azure Storage-konto. Innan du skapar en visningslista bör du granska begränsningarna för visningslistor.

Viktigt!

Funktionerna för visningslistmallar och möjligheten att skapa en visningslista från en fil i Azure Storage finns för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Microsoft Sentinel är tillgängligt som en del av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Microsoft Sentinel i Defender-portalen stöds nu för produktionsanvändning. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Ladda upp en visningslista från en lokal mapp

Du har två sätt att ladda upp en CSV-fil från din lokala dator för att skapa en visningslista.

• För en visningslistefil som du skapade utan en visningslistmall: Välj Lägg till ny och ange nödvändig information.
• För en visningslistefil som skapats från en mall som laddats ned från Microsoft Sentinel: Gå till fliken Mallar för visningslista (förhandsversion ). Välj alternativet Skapa från mall. Azure fyller i aliaset för namn, beskrivning och visningslista i förväg.

Ladda upp visningslistan från en fil som du har skapat

Om du inte använde en visningslistmall för att skapa filen,

1. För Microsoft Sentinel i Azure-portalen går du till Konfiguration och väljer Bevakningslista.
   För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel Configuration>>Watchlist.

2. Välj + Nytt.

   Azure-portalen

   

   Defender-portalen

   

3. På sidan Allmänt anger du namn, beskrivning och alias för visningslistan.

   

4. Välj Nästa: Källa.

5. Använd informationen i följande tabell för att ladda upp dina visningslistedata.

   Fält	beskrivning
   Välj en typ för datauppsättningen	CSV-fil med ett huvud (.csv)
   Antal rader före rad med rubriker	Ange antalet rader före rubrikraden som finns i datafilen.
   Ladda upp fil	Dra och släpp antingen datafilen eller välj Bläddra efter filer och välj den fil som ska laddas upp.
   SearchKey	Ange namnet på en kolumn i din visningslista som du förväntar dig att använda som en koppling till andra data eller ett vanligt objekt för sökningar. Om din serverbevakningslista till exempel innehåller landsnamn och deras respektive landskoder med två bokstäver och du förväntar dig att använda landskoderna ofta för sökning eller kopplingar använder du kolumnen Kod som SearchKey.

   Kommentar

   Om CSV-filen är större än 3,8 MB måste du använda anvisningarna för Skapa en stor visningslista från en fil i Azure Storage.

6. Välj Nästa: Granska och skapa.

   

7. Granska informationen, kontrollera att den är korrekt, vänta på det valideringsmeddelande som skickats och välj sedan Skapa.

   

   Ett meddelande visas när visningslistan har skapats.

Det kan ta flera minuter innan visningslistan skapas och att nya data är tillgängliga i frågor.

Ladda upp visningslista som skapats från en mall (förhandsversion)

Om du vill skapa visningslistan från en mall som du har fyllt i,

1. För Microsoft Sentinel i Azure-portalen går du till Konfiguration och väljer Bevakningslista.
   För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel Configuration>>Watchlist.

2. Välj fliken Mallar (förhandsversion).

3. Välj lämplig mall i listan för att visa information om mallen i den högra rutan.

4. Välj Skapa från mall.

   

5. På fliken Allmänt ser du att fälten Namn, Beskrivning och Bevakningslista är skrivskyddade.

6. På fliken Källa väljer du Bläddra efter filer och väljer den fil som du skapade från mallen.

7. Välj Nästa: Granska och skapa>skapa.

8. Titta efter ett Azure-meddelande som ska visas när visningslistan skapas.

Det kan ta flera minuter innan visningslistan skapas och att nya data är tillgängliga i frågor.

Skapa en stor visningslista från en fil i Azure Storage (förhandsversion)

Om du har en stor bevakningslista på upp till 500 MB kan du ladda upp din visningslista till ditt Azure Storage-konto. Skapa sedan en url för signatur för delad åtkomst för Microsoft Sentinel för att hämta visningslistedata. En url för signatur för delad åtkomst är en URI som innehåller både resurs-URI:n och signaturtoken för delad åtkomst för en resurs som en csv-fil i ditt lagringskonto. Lägg slutligen till visningslistan på din arbetsyta i Microsoft Sentinel.

Mer information om signaturer för delad åtkomst finns i Signaturtoken för delad åtkomst i Azure Storage.

Steg 1: Ladda upp en visningslistefil till Azure Storage

Om du vill ladda upp en stor bevakningslista till ditt Azure Storage-konto använder du AzCopy eller Azure-portalen.

1. Om du inte redan har ett Azure Storage-konto skapar du ett lagringskonto. Lagringskontot kan finnas i en annan resursgrupp eller region än din arbetsyta i Microsoft Sentinel.
2. Använd antingen AzCopy eller Azure-portalen för att ladda upp csv-filen med dina visningslistedata till lagringskontot.

Ladda upp filen med AzCopy

Ladda upp filer och kataloger till Blob Storage med hjälp av kommandoradsverktyget AzCopy v10. Mer information finns i Ladda upp filer till Azure Blob Storage med hjälp av AzCopy.

1. Om du inte redan har en lagringscontainer skapar du en genom att köra följande kommando.

   azcopy make 
   https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>
   

2. Kör sedan följande kommando för att ladda upp filen.

   azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'
   

Ladda upp filen i Azure-portalen

Om du inte använder AzCopy laddar du upp filen med hjälp av Azure-portalen. Gå till ditt lagringskonto i Azure-portalen för att ladda upp csv-filen med dina visningslistedata.

1. Om du inte redan har en befintlig lagringscontainer skapar du en container. För nivån för offentlig åtkomst till containern rekommenderar vi standardvärdet som är att nivån är inställd på Privat (ingen anonym åtkomst).
2. Ladda upp csv-filen till lagringskontot genom att ladda upp en blockblob.

Steg 2: Skapa url för signatur för delad åtkomst

Skapa en url för signatur för delad åtkomst för Microsoft Sentinel för att hämta visningslistedata.

1. Följ stegen i Skapa SAS-token för blobar i Azure-portalen.
2. Ange att förfallotiden för signaturtoken för delad åtkomst ska vara minst 6 timmar.
3. Behåll standardvärdet för Tillåtna IP-adresser som tomt.
4. Kopiera värdet för Blob SAS URL.

Steg 3: Lägg till Azure på cors-fliken

Innan du använder en SAS-URI lägger du till Azure-portalen i Resursdelning mellan ursprung (CORS).

1. Gå till lagringskontoinställningarna, sidan Resursdelning .
2. Välj fliken Blob-tjänst .
3. Lägg till https://*.portal.azure.net i tabellen med tillåtna ursprung.
4. Välj lämpliga tillåtna metoder för GET och OPTIONS.
5. Spara konfigurationen.

Mer information finns i CORS-stöd för Azure Storage.

Steg 4: Lägg till visningslistan i en arbetsyta

1. För Microsoft Sentinel i Azure-portalen går du till Konfiguration och väljer Bevakningslista.
   För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel Configuration>>Watchlist.

2. Välj + Nytt.

   

3. På sidan Allmänt anger du namn, beskrivning och alias för visningslistan.

   

4. Välj Nästa: Källa.

5. Använd informationen i följande tabell för att ladda upp dina visningslistedata.

   Fält	beskrivning
   Source type	Azure Storage (förhandsversion)
   Välj en typ för datauppsättningen	CSV-fil med ett huvud (.csv)
   Antal rader före rad med rubriker	Ange antalet rader före rubrikraden som finns i datafilen.
   Blob-SAS-URL (förhandsversion)	Klistra in url:en för delad åtkomst som du skapade.
   SearchKey	Ange namnet på en kolumn i din visningslista som du förväntar dig att använda som en koppling till andra data eller ett vanligt objekt för sökningar. Om din serverbevakningslista till exempel innehåller landsnamn och deras respektive landskoder med två bokstäver och du förväntar dig att använda landskoderna ofta för sökning eller kopplingar använder du kolumnen Kod som SearchKey.

   När du har angett all information ser sidan ut ungefär som följande bild.

   

6. Välj Nästa: Granska och skapa.

7. Granska informationen, kontrollera att den är korrekt och vänta tills meddelandet Validering har skickats .

8. Välj Skapa.

Det kan ta ett tag innan en stor visningslista skapas och att nya data är tillgängliga i frågor.

Visa status för visningslista

Visa statusen genom att välja visningslistan på din arbetsyta.

1. För Microsoft Sentinel i Azure-portalen går du till Konfiguration och väljer Bevakningslista.
   För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel Configuration>>Watchlist.

2. På fliken Mina bevakningslistor väljer du visningslistan .

3. På informationssidan granskar du Status (förhandsversion).

   

4. När statusen är Lyckades väljer du Visa i Log Analytics för att använda visningslistan i en fråga. Det kan ta flera minuter innan visningslistan visas i Log Analytics.

   

Ladda ned visningslistmall (förhandsversion)

Ladda ned en av bevakningslistmallarna från Microsoft Sentinel för att fylla i med dina data. Ladda sedan upp filen när du skapar visningslistan i Microsoft Sentinel.

Varje inbyggd visningslistmall har en egen uppsättning data som anges i CSV-filen som är kopplad till mallen. Mer information finns i Inbyggda visningslistescheman.

Om du vill ladda ned en av bevakningslistmallarna

1. För Microsoft Sentinel i Azure-portalen går du till Konfiguration och väljer Bevakningslista.
   För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel Configuration>>Watchlist.

2. Välj fliken Mallar (förhandsversion).

3. Välj en mall i listan om du vill visa information om mallen i den högra rutan.

4. Välj ellipserna ... i slutet av raden.

5. Välj Ladda ned schema.

   

6. Fyll i din lokala version av filen och spara den lokalt som en CSV-fil.

7. Följ stegen för att ladda upp visningslistan som skapats från en mall (förhandsversion).

Borttagna och återskapade visningslistor i Log Analytics-vyn

Om du tar bort och återskapar en bevakningslista kan du se både borttagna och återskapade poster i Log Analytics inom det fem minuter långa serviceavtalet för datainmatning. Om du ser dessa poster tillsammans i Log Analytics under en längre tid skickar du ett supportärende.

Relaterat innehåll

Mer information om Microsoft Sentinel finns i följande artiklar:

• Lär dig hur du får insyn i dina data och potentiella hot
• Kom igång med att identifiera hot med Microsoft Sentinel
• Använd arbetsböcker för att övervaka dina data.
• Hantera visningslistor
• Skapa frågor och identifieringsregler med visningslistor