Freigeben über

Erstellen von Watchlists in Microsoft Sentinel

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Watchlists in Microsoft Sentinel helfen Ihnen, Daten aus einer Datenquelle zu korrelieren, die Sie mit den Ereignissen in Ihrer Microsoft Sentinel-Umgebung bereitstellen. Beispielsweise können Sie eine Watchlist mit einer Liste von hochwertigen Ressourcen, gekündigten Mitarbeiter*innen oder Dienstkonten in Ihrer Umgebung erstellen.

Sie können eine Watchlist mit einer der folgenden Methoden erstellen:

Sie können derzeit lokale Dateien mit einer Größe von bis zu 3,8 MB hochladen. Eine Datei mit über 3,8 MB und bis zu 500 MB gilt als große Watchlist. Um eine große Watchlist hochzuladen, laden Sie die Datei in ein Azure Storage-Konto hoch. Bevor Sie eine Watchlist erstellen, überprüfen Sie die Einschränkungen von Watchlists.

Daten in der Log Analytics Watchlist-Tabelle werden 28 Tage lang aufbewahrt.

Wichtig

Die Features für Watchlist-Vorlagen, die Möglichkeit, eine Watchlist aus einer Datei in Azure Storage zu erstellen, und die Möglichkeit, eine Watchlist manuell zu erstellen, befinden sich derzeit in der VORSCHAU. Die ergänzenden Bedingungen für Azure Preview enthalten zusätzliche rechtliche Bestimmungen, die für Azure-Features gelten, die sich in der Betaversion, Vorschau oder noch nicht in der allgemeinen Verfügbarkeit befinden.

Ab Juli 2026 werden alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, auf das Defender-Portal umgeleitet und verwenden nur Microsoft Sentinel im Defender-Portal. Ab Juli 2025 werden viele neue Benutzer ebenfalls automatisch eingebunden und vom Azure-Portal zum Defender-Portal umgeleitet. Wenn Sie Microsoft Sentinel weiterhin im Azure-Portal verwenden, empfehlen wir Ihnen, mit der Planung Ihres Übergangs zum Defender-Portal zu beginnen, um einen reibungslosen Übergang sicherzustellen und die von Microsoft Defender angebotene einheitliche Sicherheitsvorgänge zu nutzen. Weitere Informationen finden Sie unter "Zeit zum Verschieben: Zurückstellen des Azure-Portals von Microsoft Sentinel für größere Sicherheit".

Hochladen einer Watchlist aus einem lokalen Ordner

Sie haben zwei Möglichkeiten, um eine CSV-Datei von Ihrem lokalen Computer hochzuladen, um eine Watchlist zu erstellen.

Hochladen einer Watchlist aus einer von Ihnen erstellten Datei

Wenn Sie zum Erstellen Ihrer Datei keine Watchlist-Vorlage verwendet haben:

  1. Wechseln Sie im Defender-Portal zu Microsoft Sentinel>Konfiguration>Überwachungsliste.

  2. Wählen Sie +Neu aus, um den Watchlist-Assistenten zu öffnen.

    Screenshot der Option

  3. Geben Sie auf der Seite "Allgemein " den Namen, die Beschreibung und den Alias für die Watchlist ein, und wählen Sie dann "Weiter: Quelle" aus.

    Screenshot: Registerkarte „Allgemein“ für die Watchlist im Watchlist-Assistenten

  4. Verwenden Sie auf der Seite " Quelle " die Informationen in der folgenden Tabelle, um Ihre Watchlist-Daten hochzuladen, und wählen Sie dann "Weiter: Überprüfen + erstellen" aus.

    Feld BESCHREIBUNG
    Quellentyp Lokale Datei
    Dateityp Dies ist eine CSV-Datei mit Überschrift (.csv).
    Anzahl von Zeilen vor der Überschriftenzeile Geben Sie die Anzahl der Zeilen vor der Kopfzeile in der Datendatei ein.
    Hochladen der Datei Ziehen Sie Ihre Datendatei und legen Sie sie ab oder wählen Sie Nach Dateien suchen und wählen Sie die Datei aus, die hochgeladen werden soll.
    Suchschlüssel Geben Sie den Namen einer Spalte in Ihrer Watchlist ein, die Sie als Verknüpfung (Join) mit anderen Daten oder als häufiges Suchobjekt verwenden möchten. Wenn Ihre Serverüberwachungsliste beispielsweise Länder-/Regionsnamen und die entsprechenden länderspezifischen Ländercodes in zwei Buchstaben enthält und Sie erwarten, dass die Ländercodes häufig für Die Suche oder Verknüpfungen verwendet werden, verwenden Sie die Spalte "Code " als Suchschlüssel.

    Hinweis

    Wenn Ihre CSV-Datei größer als 3,8 MB ist, müssen Sie die Anweisungen zum Erstellen einer großen Watchlist aus der Datei in Azure Storage verwenden.

    Screenshot der Registerkarte

  5. Überprüfen Sie die Informationen, überprüfen Sie, ob sie korrekt ist, und wählen Sie dann "Erstellen" aus.

    Screenshot der Watchlist-Überprüfungsseite.

    Sobald die Watchlist erstellt wurde, wird eine Benachrichtigung angezeigt.

Es kann einige Minuten dauern, bis die Watchlist erstellt und die neuen Daten in Abfragen verfügbar sind.

Hochladen einer Watchlist, die aus einer Vorlage erstellt wurde (Vorschau)

So erstellen Sie eine Watchlist aus einer aufgefüllten Vorlage:

  1. Wechseln Sie im Defender-Portal zu Microsoft Sentinel>Konfiguration>Überwachungsliste.

  2. Wählen Sie die Registerkarte "Vorlagen" (Vorschau) aus.

  3. Wählen Sie die entsprechende Vorlage aus der Liste aus, um Details der Vorlage im rechten Bereich anzuzeigen.

  4. Wählen Sie "Aus Vorlage erstellen" aus, um den Watchlist-Assistenten zu öffnen.

    Screenshot der Option zum Erstellen einer Watchlist aus einer integrierten Vorlage.

  5. Beachten Sie auf der Seite "Allgemein", dass die Felder "Name", "Beschreibung" und "Alias" schreibgeschützt sind. Wählen Sie "Weiter" aus: Quelle.

  6. Wählen Sie auf der Seite " Quelle " die Option " Nach Dateien suchen" und dann die Datei aus, die Sie aus der Vorlage erstellt haben.

  7. Wählen Sie Weiter: Überprüfen und erstellen und dann Erstellen aus. Sobald die Watchlist erstellt wurde, wird eine Benachrichtigung angezeigt.

Es kann einige Minuten dauern, bis die Watchlist erstellt und die neuen Daten in Abfragen verfügbar sind.

Erstellen einer großen Watchlist aus einer Datei in Azure Storage (Vorschau)

Wenn Sie eine große Watchlistdatei mit einer Größe von bis zu 500 MB haben, laden Sie Ihre Watchlistdatei in Ihr Azure Storage-Konto hoch. Erstellen Sie dann eine SAS-URL (Shared Access Signature), über die Microsoft Sentinel die Watchlistdaten abrufen kann. Eine Signatur-URL für freigegebenen Zugriff ist ein URI, der sowohl den Ressourcen-URI als auch das Signaturtoken für freigegebenen Zugriff einer Ressource enthält, z. B. eine CSV-Datei in Ihrem Speicherkonto. Fügen Sie schließlich die Watchlist Ihrem Arbeitsbereich in Microsoft Sentinel hinzu.

Weitere Informationen zu freigegebenen Zugriffssignaturen finden Sie unter Azure Storage shared access signature token.

Schritt 1: Hochladen einer Watchlistdatei in Azure Storage

Um eine große Watchlistdatei in Ihr Azure Storage-Konto hochzuladen, verwenden Sie AzCopy oder das Azure-Portal.

  1. Wenn Sie noch nicht über ein Azure Storage-Konto verfügen, erstellen Sie ein Speicherkonto. Das Speicherkonto kann sich in einer anderen Ressourcengruppe oder Region als Ihr Arbeitsbereich in Microsoft Sentinel befinden.
  2. Verwenden Sie AzCopy oder das Azure-Portal, um Ihre CSV-Datei mit Ihren Watchlist-Daten in das Speicherkonto hochzuladen.

Hochladen Ihrer Datei mit AzCopy

Verwenden Sie das Befehlszeilenprogramm AzCopy v10, um Dateien und Verzeichnisse in Blob Storage hochzuladen. Weitere Informationen finden Sie unter Hochladen von Dateien in Azure Blob Storage mithilfe von AzCopy.

  1. Wenn Sie noch über keinen Storage-Container verfügen, erstellen Sie einen, indem Sie den folgenden Befehl ausführen.

    azcopy make 
https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>

  2. Führen Sie als Nächstes den folgenden Befehl aus, um die Datei hochzuladen.

    azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'

Hochladen Ihrer Datei in das Azure-Portal

Wenn Sie nicht AzCopy verwenden, laden Sie Ihre Datei mithilfe des Azure-Portals hoch. Wechseln Sie zum Speicherkonto im Azure-Portal, um die CSV-Datei mit Ihren Watchlist-Daten hochzuladen.

  1. Wenn Sie noch nicht über einen vorhandenen Speichercontainer verfügen, erstellen Sie einen Container. Verwenden Sie für die Ebene des öffentlichen Zugriffs auf den Container den Standardwert, der auf "Privat" (kein anonymer Zugriff) festgelegt ist.
  2. Laden Sie einen Block-BLOB hoch, um Ihre CSV-Datei in das Speicherkonto hochzuladen.

Schritt 2: Erstellen einer SAS-URL (Shared Access Signature)

Erstellen Sie eine SAS-URL (Shared Access Signature), über die Microsoft Sentinel die Watchlistdaten abrufen kann.

  1. Führen Sie die Schritte unter Erstellen von SAS-Token für Blobs im Azure-Portal aus.
  2. Legen Sie die Ablaufzeit des Freigabezugriffssignaturtokens auf mindestens sechs Stunden fest.
  3. Behalten Sie den Standardwert für zulässige IP-Adressen leer.
  4. Kopieren Sie den Wert für blob SAS-URL.

Schritt 3: Hinzufügen von Azure zur CORS-Registerkarte

Bevor Sie einen SAS-URI verwenden, fügen Sie das Azure-Portal zur ursprungsübergreifenden Ressourcenfreigabe (Cross Origin Resource Sharing, CORS) hinzu.

  1. Wechseln Sie zu den Einstellungen für das Speicherkonto, Seite „Ressourcenfreigabe“.
  2. Wählen Sie die Registerkarte Blob-Dienst aus.
  3. Fügen Sie https://*.portal.azure.net zur Tabelle der zulässigen Ursprünge hinzu.
  4. Wählen Sie die geeigneten zulässigen Methoden von GET und OPTIONSaus.
  5. Speichern Sie die Konfiguration.

Weitere Informationen finden Sie unter CORS-Unterstützung für Azure Storage.

Schritt 4: Hinzufügen der Watchlist zu einem Arbeitsbereich

  1. Wechseln Sie im Defender-Portal zu Microsoft Sentinel>Konfiguration>Überwachungsliste.

  2. Wählen Sie +Neu aus, um den Watchlist-Assistenten zu öffnen.

  3. Geben Sie auf der Seite "Allgemein " den Namen, die Beschreibung und den Alias für die Watchlist ein, und wählen Sie dann "Weiter: Quelle" aus.

  4. Verwenden Sie auf der Seite " Quelle " die Informationen in der folgenden Tabelle, um Ihre Watchlist-Daten hochzuladen, und wählen Sie dann "Weiter: Überprüfen + erstellen" aus.

    Feld BESCHREIBUNG
    Quellentyp Azure Storage (Vorschau)
    Typ für das Dataset auswählen Dies ist eine CSV-Datei mit Überschrift (.csv).
    Anzahl von Zeilen vor der Überschriftenzeile Geben Sie die Anzahl der Zeilen vor der Kopfzeile in der Datendatei ein.
    Blob-SAS-URL (Vorschau) Fügen Sie die von Ihnen erstellte freigegebene Zugriffs-URL ein.
    Suchschlüssel Geben Sie den Namen einer Spalte in Ihrer Watchlist ein, die Sie als Verknüpfung (Join) mit anderen Daten oder als häufiges Suchobjekt verwenden möchten. Wenn Ihre Serverüberwachungsliste beispielsweise Länder-/Regionsnamen und die entsprechenden länderspezifischen Ländercodes in zwei Buchstaben enthält und Sie erwarten, dass die Ländercodes häufig für Die Suche oder Verknüpfungen verwendet werden, verwenden Sie die Spalte "Code " als Suchschlüssel.

  5. Überprüfen Sie die Informationen, überprüfen Sie, ob sie korrekt ist, und wählen Sie dann "Erstellen" aus. Sobald die Watchlist erstellt wurde, wird eine Benachrichtigung angezeigt.

Es kann eine Weile dauern, bis eine große Watchlist erstellt und die neuen Daten in Abfragen verfügbar sind.

Manuelles Erstellen einer Beobachtungsliste (Vorschau)

So erstellen Sie eine Watchlist von Grund auf neu:

  1. Wechseln Sie im Defender-Portal zu Microsoft Sentinel>Konfiguration>Überwachungsliste.

  2. Wählen Sie +Neu aus, um den Watchlist-Assistenten zu öffnen.

  3. Geben Sie auf der Seite "Allgemein " den Namen, die Beschreibung und den Alias für die Watchlist ein, und wählen Sie dann "Weiter: Quelle" aus.

  4. Wählen Sie auf der Seite " Quelle " die Option "Manuell " (Vorschau) als Quelltyp aus.

  5. Fügen Sie die Spaltennamen für Ihre Watchlist hinzu, und definieren Sie sie. Wählen Sie die Spalte aus, die als Suchschlüssel dient. Dieser Schlüssel ist die Spalte in Ihrer Watchlist, die Sie als Verknüpfung mit anderen Daten oder einem häufigen Suchobjekt verwenden möchten.

    Screenshot der Option zum manuellen Erstellen einer Watchlist.

  6. Klicken Sie auf Weiter: Überprüfen + erstellen.

  7. Überprüfen Sie die Informationen, überprüfen Sie, ob sie korrekt ist, und wählen Sie dann "Erstellen" aus. Sobald die Watchlist erstellt wurde, wird eine Benachrichtigung angezeigt.

Es kann einige Minuten dauern, bis die Watchlist erstellt und die neuen Daten in Abfragen verfügbar sind.

Hinweis

Watchlists, die Sie manuell erstellen, enthalten einen einzelnen Eintrag, der Standardwerte verwendet. Sie können diesen Eintrag nach Bedarf aktualisieren. Weitere Informationen finden Sie unter Verwalten von Watchlists.

Anzeigen des Watchliststatus

So zeigen Sie den Status einer Überwachungsliste in Ihrem Arbeitsbereich an:

  1. Wechseln Sie im Defender-Portal zu Microsoft Sentinel>Konfiguration>Beobachtungsliste.

  2. Wählen Sie auf der Registerkarte "Meine Watchlists " die Watchlist aus.

  3. Überprüfen Sie auf der Detailseite den Status (Vorschau).

    Screenshot, der den Status auf der Watchlist zeigt.

  4. Wenn der Status erfolgreich ist, wählen Sie "In Protokollen anzeigen" aus, um die Watchlist in einer Abfrage zu verwenden. Es kann mehrere Minuten dauern, bis die Watchlist in Log Analytics angezeigt wird.

    Screenshot der Watchlist-Seite mit hervorgehobener Schaltfläche

Herunterladen der Watchlistvorlage (Vorschau)

Laden Sie eine der Watchlistvorlagen von Microsoft Sentinel herunter, um sie mit Ihren Daten auszufüllen. Laden Sie diese Datei dann hoch, wenn Sie die Watchlist in Microsoft Sentinel erstellen.

Jede integrierte Watchlistvorlage verfügt über eigene Daten, die in der CSV-Datei aufgeführt sind, die an die Vorlage angefügt ist. Weitere Informationen finden Sie unter den integrierten Watchlist-Schemas.

So laden Sie eine der Watchlist-Vorlagen herunter:

  1. Wechseln Sie im Defender-Portal zu Microsoft Sentinel>Konfiguration>Überwachungsliste.

  2. Wählen Sie die Registerkarte "Vorlagen" (Vorschau) aus.

  3. Wählen Sie eine Vorlage aus der Liste aus, um Details der Vorlage im rechten Bereich anzuzeigen.

  4. Wählen Sie die Auslassungspunkte ... am Ende der Zeile aus.

  5. Wählen Sie "Schema herunterladen" aus.

    Screenshot der Registerkarte

  6. Füllen Sie Ihre lokale Version der Datei auf, und speichern Sie sie lokal als CSV-Datei.

  7. Führen Sie die Schritte aus, um die Watchlist hochzuladen, die aus einer Vorlage (Vorschau) erstellt wurde.

Gelöschte und neu erstellte Watchlists in der Log Analytics-Ansicht

Wenn Sie eine Watchlist löschen und neu erstellen, werden innerhalb der SLA von fünf Minuten für die Datenerfassung möglicherweise sowohl die gelöschten als auch die neu erstellten Einträge in Log Analytics angezeigt. Wenn diese Einträge zusammen für einen längeren Zeitraum in Log Analytics angezeigt werden, übermitteln Sie ein Supportticket.

Verwandte Inhalte

Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln:

  • Last updated on