在 Microsoft Sentinel 中建立監看清單

• 適用於:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel 中的關注列表可讓您將數據源中的數據與 Microsoft Sentinel 環境中的事件相互關聯。 例如，您可以建立具有高價值資產、已終止員工或服務帳戶清單的監看清單。

從本機資料夾或 Azure 儲存體 帳戶上傳關注清單檔案。 若要建立監看清單檔案，您可以選擇從 Microsoft Sentinel 下載其中一個監看清單範本，以填入您的數據。 然後在您在 Microsoft Sentinel 中建立關注清單時上傳該檔案。

本機檔案上傳目前限制為大小上限為 3.8 MB 的檔案。 大小超過 3.8 MB 且最多 500 MB 的檔案會 被視為大型關注清單。 將檔案上傳至 Azure 儲存體 帳戶。 建立監看清單之前，請先檢閱 關注清單的限制。

重要

監視清單範本的功能，以及從 Azure 儲存體 中的檔案建立監看清單的功能目前處於預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版，或尚未發行的版本) 的其他法律條款。

Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。 如需詳細資訊，請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

從本機資料夾上傳監看清單

您有兩種方式可從本機計算機上傳 CSV 檔案，以建立監看清單。

• 對於您建立且沒有關注清單範本的監看清單檔案：選取 [新增 ]，然後輸入必要的資訊。
• 如需從 Microsoft Sentinel 下載的範本所建立的監看清單檔案：移至關注清單範本 （預覽） 索引卷標。選取 [從範本建立] 選項。 Azure 會為您預先填入名稱、描述和監看清單別名。

從您建立的檔案上傳監看清單

如果您未使用監看清單範本來建立檔案，

1. 針對 Azure 入口網站 中的 Microsoft Sentinel，在 [設定] 底下，選取 [監看式清單]。
   針對 Defender 入口網站中的 Microsoft Sentinel，選取 [Microsoft Sentinel>設定>監看清單]。

2. 選取 + 新增。

   Azure 入口網站

   

   Defender 入口網站

   

3. 在 [ 一般] 頁面上，提供關注清單的名稱、描述和別名。

   

4. 選取 [下一步：來源]。

5. 使用下表中的資訊來上傳您的關注清單數據。

   欄位	描述
   選取數據集的類型	具有標頭的 CSV 檔案 （.csv）
   具有標題的數據列前行數	輸入數據檔中標頭數據列之前的行數。
   上傳檔案	拖放數據檔，或選取 [ 瀏覽檔案 ]，然後選取要上傳的檔案。
   SearchKey	在監看式清單中輸入數據行的名稱，該數據行預期會做為與其他數據的聯結或搜尋的常用物件。 例如，如果您的伺服器監看清單包含國家/地區名稱及其各自的兩個字母國家/地區代碼，而且您預期經常使用國家/地區代碼進行搜尋或聯結，請使用 [代碼 ] 資料行作為 SearchKey。

   注意

   如果您的 CSV 檔案大於 3.8 MB，您必須使用從檔案建立大型監看清單的指示，Azure 儲存體。

6. 選取 [ 下一步：檢閱和建立]。

   

7. 檢閱資訊、確認其正確、等候 驗證通過 的訊息，然後選取 [ 建立]。

   

   建立監看清單之後，就會顯示通知。

建立監看清單可能需要幾分鐘的時間，以及查詢中可用的新數據。

上傳從範本建立的監看清單 （預覽）

若要從您填入的範本建立監看清單，

1. 針對 Azure 入口網站 中的 Microsoft Sentinel，在 [設定] 底下，選取 [監看式清單]。
   針對 Defender 入口網站中的 Microsoft Sentinel，選取 [Microsoft Sentinel>設定>監看清單]。

2. 選取 [範本] 索引標籤 [預覽]。

3. 從清單中選取適當的範本，以在右窗格中檢視範本的詳細數據。

4. 選取 [從範本建立]。

   

5. 在 [ 一般] 索引標籤上，請注意 [名稱]、 [描述] 和 [監看式清單別名] 字段全都是只讀的。

6. 在 [ 來源] 索引標籤上，選取 [ 瀏覽檔案 ]，然後選取您從範本建立的檔案。

7. 選取 [下一步：檢閱並建立]。>

8. 監看 Azure 通知，以在建立監看清單時顯示。

建立監看清單可能需要幾分鐘的時間，以及查詢中可用的新數據。

在 Azure 儲存體 中從檔案建立大型監看清單 （預覽）

如果您有大小上限為 500 MB 的大型關注清單，請將您的關注清單檔案上傳至您的 Azure 儲存體 帳戶。 然後建立 Microsoft Sentinel 的共用存取簽章 URL，以擷取關注清單數據。 共用存取簽章 URL 是一個 URI，其中包含資源 URI 和共用存取簽章令牌的資源，例如記憶體帳戶中的 csv 檔案。 最後，將監看清單新增至 Microsoft Sentinel 中的工作區。

如需共用存取簽章的詳細資訊，請參閱 Azure 儲存體 共用存取簽章令牌。

步驟 1：將關注清單檔案上傳至 Azure 儲存體

若要將大型關注清單檔案上傳至您的 Azure 儲存體 帳戶，請使用 AzCopy 或 Azure 入口網站。

1. 如果您還沒有 Azure 儲存體 帳戶，請建立記憶體帳戶。 記憶體帳戶可以位於 Microsoft Sentinel 中工作區的不同資源群組或區域。
2. 使用 AzCopy 或 Azure 入口網站，將 csv 檔案與您的監看清單數據上傳至記憶體帳戶。

使用 AzCopy 上傳您的檔案

使用 AzCopy v10 命令行公用程式，將檔案和目錄上傳至 Blob 記憶體。 若要深入瞭解，請參閱 使用 AzCopy 將檔案上傳至 Azure Blob 記憶體。

1. 如果您還沒有記憶體容器，請執行下列命令來建立一個記憶體容器。

   azcopy make 
   https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>
   

2. 接下來，執行下列命令以上傳檔案。

   azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'
   

在 Azure 入口網站 中上傳您的檔案

如果您沒有使用 AzCopy，請使用 Azure 入口網站 上傳檔案。 移至 Azure 入口網站 中的記憶體帳戶，以上傳具有監看清單數據的 csv 檔案。

1. 如果您還沒有現有的記憶體容器， 請建立容器。 針對容器的公用存取層級，我們建議使用預設值，也就是層級設定為 [私人] （沒有匿名存取）。
2. 上傳區塊 Blob，將您的 csv 檔案上傳至記憶體帳戶。

步驟 2：建立共用存取簽章 URL

建立 Microsoft Sentinel 的共用存取簽章 URL，以擷取關注清單數據。

1. 請遵循在 Azure 入口網站 中建立 Blob 的 SAS 令牌中的步驟。
2. 將共用存取簽章令牌到期時間設定為至少 6 小時。
3. 將 [允許的IP 位址] 的預設值保留為空白。
4. 複製 Blob SAS URL 的值。

步驟 3：將 Azure 新增至 CORS 索引標籤

使用 SAS URI 之前，請先將 Azure 入口網站 新增至跨原始資源分享 （CORS）。

1. 移至記憶體帳戶設定[ 資源分享 ] 頁面。
2. 選取 [ Blob 服務] 索引 標籤。
3. 將 新增 https://*.portal.azure.net 至允許的來源數據表。
4. 選取和的適當允許方法GET。OPTIONS
5. 儲存設定。

如需詳細資訊，請參閱 Azure 儲存體的CORS支援。

步驟 4：將監看清單新增至工作區

1. 針對 Azure 入口網站 中的 Microsoft Sentinel，在 [設定] 底下，選取 [監看式清單]。
   針對 Defender 入口網站中的 Microsoft Sentinel，選取 [Microsoft Sentinel>設定>監看清單]。

2. 選取 + 新增。

   

3. 在 [ 一般] 頁面上，提供關注清單的名稱、描述和別名。

   

4. 選取 [下一步：來源]。

5. 使用下表中的資訊來上傳您的關注清單數據。

   欄位	描述
   來源類型	Azure 儲存體 （預覽）
   選取數據集的類型	具有標頭的 CSV 檔案 （.csv）
   具有標題的數據列前行數	輸入數據檔中標頭數據列之前的行數。
   Blob SAS URL （預覽）	貼上您建立的共享存取 URL。
   SearchKey	在監看式清單中輸入數據行的名稱，該數據行預期會做為與其他數據的聯結或搜尋的常用物件。 例如，如果您的伺服器監看清單包含國家/地區名稱及其各自的兩個字母國家/地區代碼，而且您預期經常使用國家/地區代碼進行搜尋或聯結，請使用 [代碼 ] 資料行作為 SearchKey。

   輸入所有信息之後，您的頁面看起來會類似下圖。

   

6. 選取 [ 下一步：檢閱和建立]。

7. 檢閱資訊，確認其正確無誤，等待驗證通過的訊息。

8. 選取 建立。

建立大型關注清單和查詢中可用的新數據可能需要一些時間。

檢視關注清單狀態

選取工作區中的關注清單來檢視狀態。

1. 針對 Azure 入口網站 中的 Microsoft Sentinel，請在 [設定] 底下選取 [監看式清單]。
   針對 Defender 入口網站中的 Microsoft Sentinel，選取 [Microsoft Sentinel>設定>監看清單]。

2. 在 [ 我的監看列表] 索引 標籤上，選取關注清單。

3. 在詳細數據頁面上，檢閱 [狀態] [預覽]。

   

4. 當狀態為 [成功] 時，選取 [在 Log Analytics 中檢視] 以在查詢中使用關注清單。 監視清單可能需要幾分鐘的時間才會顯示在Log Analytics中。

   

下載關注清單範本 （預覽）

從 Microsoft Sentinel 下載其中一個監看清單範本，以填入您的數據。 然後在您在 Microsoft Sentinel 中建立關注清單時上傳該檔案。

每個內建關注清單範本都有自己的數據集，列在附加至範本的 CSV 檔案中。 如需詳細資訊，請參閱 內建關注清單架構。

若要下載其中一個關注清單範本，

1. 針對 Azure 入口網站 中的 Microsoft Sentinel，在 [組態] 底下，選取 [監看式清單]。
   針對 Defender 入口網站中的 Microsoft Sentinel，選取 [Microsoft Sentinel>設定>監看清單]。

2. 選取 [範本] 索引標籤 [預覽]。

3. 從清單中選取範本，以在右窗格中檢視範本的詳細數據。

4. 選取資料列結尾處的省略號 ... 。

5. 選取 [ 下載架構]。

   

6. 填入本機版本的檔案，並將它儲存為 CSV 檔案。

7. 請遵循步驟來上傳從範本建立的監看清單（預覽）。

Log Analytics 檢視中已刪除和重新建立的監看清單

如果您刪除並重新建立關注清單，您可能會在 5 分鐘的 SLA 內看到 Log Analytics 中已刪除和重新建立的專案，以進行數據擷取。 如果您在Log Analytics中一起看到這些專案較長的時間，請提交支援票證。

相關內容

若要深入了解 Microsoft Sentinel，請參閱下列文章：

• 瞭解如何 瞭解您的數據和潛在威脅
• 開始使用 Microsoft Sentinel 偵測威脅
• 使用活頁簿監視資料。
• 管理監看清單
• 使用關注清單建置查詢和偵測規則