在 Microsoft Sentinel 中建立關注清單
Microsoft Sentinel 中的關注清單可讓您將資料來源中的資料與 Microsoft Sentinel 環境中的事件相互關聯。 例如,您可能會建立環境中具有高價值資產、已終止員工或服務帳戶清單的關注清單。
從本地資料夾或 Azure 儲存體帳戶上傳關注清單檔案。 若要建立關注清單檔案,您可以選擇從 Microsoft Sentinel 下載其中一個關注清單範本,以填入您的資料。 然後在 Microsoft Sentinel 中建立關注清單時上傳該檔案。
本地檔案上傳目前僅限大小上限為 3.8 MB 的檔案。 大小超過 3.8 MB 且最多 500 MB 的檔案會被視為大型關注清單。 將檔案上傳到 Azure 儲存體帳戶。 建立關注清單之前,請先檢閱關注清單的限制。
重要
關注清單範本的功能,以及從Azure 儲存體檔案建立關注清單的功能目前為預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
從本地資料夾上傳關注清單
您有兩種方式可從本地電腦上傳 CSV 檔案,以建立關注清單。
- 針對您建立且沒有關注清單範本的關注清單檔案:選取 [新增] 並輸入必要資訊。
- 如需從 Microsoft Sentinel 下載的範本所建立的關注清單檔案:請移至關注清單 [範本 (預覽)] 索引標籤。從範本選取 [建立] 選項。 Azure 會為您預先填入名稱、描述和關注清單別名。
從您所建立的檔案上傳關注清單
如果您未使用關注清單範本來建立檔案,
針對 Azure 入口網站的 Microsoft Sentinel,在 [設定] 下方選取 [關注清單].。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[設定]>[關注清單]。選取 + 新增。
在 [一般] 頁面上,提供關注清單的 [名稱]、[說明] 和 [別名]。
選取 [下一步:來源]。
使用下表中的資訊來上傳關注清單資料。
欄位 描述 為資料集選取類型 具有標題的 CSV 檔案 (.csv) 有標題的列之前的行數 輸入資料檔中標頭列之前的行數。 上傳檔案 拖放資料檔案,或選取 [瀏覽檔案],然後選取要上傳的檔案。 SearchKey 輸入您預期作為與其他資料聯結或常用搜尋物件的關注清單中資料行的名稱。 例如,如果您的伺服器關注清單包含國家/地區名稱及其各自的兩個字母國家/地區代碼,而且您預期經常使用國家/地區代碼進行搜尋或聯結,請使用 [代碼] 資料行作為 SearchKey。 注意
如果您的 CSV 檔案大於 3.8 MB,您必須使用指示,從 Azure 儲存體中的檔案建立大型關注清單。
選取 [下一步:檢閱及建立]。
檢閱資訊、確認正確無誤、等候驗證傳遞訊息,然後選取 [建立]。
關注清單建立之後,就會顯示通知。
建立關注清單以及查詢中可用的新資料可能需要幾分鐘的時間。
上傳從範本建立的關注清單 (預覽)
若要從您填入的範本建立關注清單,
針對 Azure 入口網站的 Microsoft Sentinel,在 [設定] 下方選取 [關注清單].。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[設定]>[關注清單]。選取索引標籤 [範本 (預覽)]。
從清單中選取適當的範本,以在右窗格中檢視範本的詳細資料。
選取 [從範本建立]。
請注意,在 [一般] 索引標籤上,[名稱]、[描述] 和 [關注清單別名] 欄位都是唯讀的。
在 [來源] 索引標籤上,選取 [瀏覽檔案],然後選取您從範本建立的檔案。
選取 [下一步:檢閱及建立] > [建立]。
監看在建立關注清單時顯示的 Azure 通知。
建立關注清單以及查詢中可用的新資料可能需要幾分鐘的時間。
從 Azure 儲存體的檔案中建立大型關注清單 (預覽)
如果您有大小上限為 500 MB 的大型關注清單,請將關注清單檔案上傳至 Azure 儲存體帳戶。 然後建立 Microsoft Sentinel 的共用存取簽章 URL 以擷取關注清單資料。 共用存取簽章 URL 是一個 URI,其中包含資源 URI 和資源 (例如儲存體帳戶中的 csv 檔案) 的共用存取簽章權杖。 最後,將關注清單新增至 Microsoft Sentinel 中的工作區。
如需有關共用存取簽章的詳細資訊,請參閱 Azure 儲存體共用存取簽章權杖。
步驟 1:將關注清單檔案上傳至 Azure 儲存體
若要將大型關注清單檔案上傳至 Azure 儲存體帳戶,請使用 AzCopy 或 Azure 入口網站。
- 如果您還沒有 Azure 儲存體帳戶,請建立儲存體帳戶。 儲存體帳戶可以位於與 Microsoft Sentinel 中工作區的不同資源群組或區域中。
- 使用 AzCopy 或 Azure 入口網站,將 csv 檔案與關注清單資料上傳至儲存體帳戶。
使用 AzCopy 上傳檔案
使用 AzCopy v10 命令列公用程式,將檔案和目錄上傳到 Blob 儲存體。 若要進一步了解,請參閱使用 AzCopy 將檔案上傳到 Azure Blob 儲存體。
如果您還沒有儲存體容器,請執行下列命令來進行建立。
azcopy make https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>
接下來,執行下列命令以上傳檔案。
azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'
在 Azure 入口網站中上傳檔案
如果您沒有使用 AzCopy,請使用 Azure 入口網站上傳檔案。 移至 Azure 入口網站中的儲存體帳戶,以上傳 csv 檔案與關注清單資料。
步驟 2:建立共用存取簽章 URL
建立 Microsoft Sentinel 的共用存取簽章 URL 以擷取關注清單資料。
- 遵循在 Azure 入口網站中建立 Blob 的 SAS 權杖中的步驟。
- 將共用存取簽章權杖到期時間設定為至少 6 小時。
- 將允許的 IP 位址的預設值保留為空白。
- 複製 Blob SAS URL 的值。
步驟 3:將 Azure 新增至 CORS 索引標籤
使用 SAS URI 之前,請先將 Azure 入口網站新增至跨原點資源分享 (CORS)。
- 移至儲存體帳戶設定,[資源分享]頁面。
- 選取 [Blob 服務] 索引標籤。
- 將
https://*.portal.azure.net
新增至允許的來源資料表。 - 選取
GET
和OPTIONS
的適當 [允許方法]。 - 儲存設定。
如需詳細資訊,請參閱 Azure 儲存體 CORS 支援。
步驟 4:將關注清單新增至工作區
針對 Azure 入口網站的 Microsoft Sentinel,在 [設定] 下方選取 [關注清單].。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[設定]>[關注清單]。選取 + 新增。
在 [一般] 頁面上,提供關注清單的 [名稱]、[說明] 和 [別名]。
選取 [下一步:來源]。
使用下表中的資訊來上傳關注清單資料。
欄位 描述 來源類型 Azure 儲存體 (預覽) 為資料集選取類型 具有標題的 CSV 檔案 (.csv) 有標題的列之前的行數 輸入資料檔中標頭列之前的行數。 Blob SAS URL (預覽) 在您建立的共用存取 URL 中貼上。 SearchKey 輸入您預期作為與其他資料聯結或常用搜尋物件的關注清單中資料行的名稱。 例如,如果您的伺服器關注清單包含國家/地區名稱及其各自的兩個字母國家/地區代碼,而且您預期經常使用國家/地區代碼進行搜尋或聯結,請使用 [代碼] 資料行作為 SearchKey。 輸入所有資訊之後,您的頁面看起來會類似下圖。
選取 [下一步:檢閱及建立]。
檢閱資訊、確認正確無誤、等候驗證傳遞訊息。
選取 建立。
建立大型關注清單以及查詢中可用的新資料可能需要一段時間。
檢視關注清單狀態
選取工作區中的關注清單,以檢視狀態。
針對 Azure 入口網站的 Microsoft Sentinel,在 [設定] 下方選取 [關注清單].。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[設定]>[關注清單]。在 [我的關注清單] 索引標籤上,選取關注清單。
在詳細資料頁面上,檢閱 [狀態 (預覽)]。
當狀態為 [成功] 時,請選取 [在 Log Analytics 中檢視] 以在查詢中使用關注清單。 在 Log Analytics 中顯示關注清單可能需要幾分鐘的時間。
下載關注清單範本 (預覽)
從 Microsoft Sentinel 下載其中一個關注清單範本,以填入您的資料。 然後在 Microsoft Sentinel 中建立關注清單時上傳該檔案。
每個內建關注清單範本都有自己的資料集,那些資料是列在附加至範本的 CSV 檔案中。 如需詳細資訊,請參閱內建關注清單結構描述。
若要下載其中一個關注清單範本,
針對 Azure 入口網站的 Microsoft Sentinel,在 [設定] 下方選取 [關注清單].。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[設定]>[關注清單]。選取索引標籤 [範本 (預覽)]。
從清單中選取範本,以在右窗格中檢視範本的詳細資料。
選取資料列結尾的省略符號 ...。
選取 [下載結構描述]。
填入本地版本的檔案,並將其在本地儲存為 CSV 檔案。
請依照上傳從範本建立的關注清單 (預覽) 的步驟。
Log Analytics 檢視中已刪除和重新建立的關注清單
如果您刪除並重新建立關注清單,您可能會在五分鐘的資料擷取 SLA 內看到 Log Analytics 中已刪除和重新建立的項目。 如果您在 Log Analytics 中長時間看到這些項目,請提交支援票證。
相關內容
若要深入了解 Microsoft Sentinel,請參閱下列文章:
- 深入了解如何取得資料以及潛在威脅的可見度
- 開始使用 Microsoft Sentinel 偵測威脅
- 使用活頁簿監視資料。
- 管理關注清單
- 使用關注清單建置查詢和偵測規則