Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les watchlists dans Microsoft Sentinel vous aident à mettre en corrélation les données d’une source de données que vous fournissez avec les événements de votre environnement Microsoft Sentinel. Par exemple, vous pouvez créer une watchlist avec une liste des ressources de grande valeur, des employés licenciés ou des comptes de service dans votre environnement.
Vous pouvez créer une liste de surveillance à l’aide de l’une des méthodes suivantes :
- Charger un fichier watchlist à partir d’un dossier local
- Charger un fichier watchlist à partir de votre compte stockage Azure
- Créer une watchlist manuellement
Vous pouvez actuellement charger des fichiers locaux jusqu’à 3,8 Mo de taille. Un fichier de plus de 3,8 Mo et jusqu’à 500 Mo est considéré comme une grande liste de surveillance. Pour charger une grande liste de surveillance, chargez le fichier dans un compte de stockage Azure. Avant de créer une watchlist, passez en revue les limitations des watchlists.
Les données de la table Watchlist Log Analytics sont conservées pendant 28 jours.
Important
Les fonctionnalités des modèles watchlist, la possibilité de créer une watchlist à partir d’un fichier dans stockage Azure et la possibilité de créer manuellement une watchlist sont actuellement en préversion. Les Conditions supplémentaires pour les préversions Azure comprennent des conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.
À compter de juillet 2026, tous les clients utilisant Microsoft Sentinel dans le portail Azure seront redirigés vers le portail Defender et utiliseront Microsoft Sentinel uniquement dans le portail Defender. À compter de juillet 2025, de nombreux nouveaux utilisateurs sont également automatiquement intégrés et redirigés à partir du portail Azure vers le portail Defender. Si vous utilisez toujours Microsoft Sentinel dans le portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition fluide et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender. Pour plus d’informations, consultez Il est temps de passer à autre chose : mise hors service du portail Azure de Microsoft Sentinel pour une sécurité accrue.
Charger une Watchlist à partir d’un dossier local
Deux possibilités s’offrent à vous pour charger un fichier CSV à partir de votre machine locale afin de créer une Watchlist.
- Pour un fichier watchlist que vous avez créé sans modèle watchlist : sélectionnez Ajouter nouveau et entrez les informations requises.
- Pour un fichier watchlist créé à partir d’un modèle téléchargé à partir de Microsoft Sentinel : accédez à l’onglet Modèles watchlist (préversion). Sélectionnez l’option Créer à partir du modèle. Azure pré-remplit le nom, la description et l’alias de Watchlist pour vous.
Charger une watchlist à partir d’un fichier que vous avez créé
Si vous n’avez pas utilisé de modèle watchlist pour créer votre fichier :
Dans le portail Defender, accédez à Microsoft Sentinel>Configuration>Watchlist.
Sélectionnez + Nouveau pour ouvrir l’Assistant Watchlist.
Dans la page Général , entrez le nom, la description et l’alias de la liste de surveillance, puis sélectionnez Suivant : Source.
Dans la page Source , utilisez les informations du tableau suivant pour charger vos données watchlist, puis sélectionnez Suivant : Vérifier + créer.
Champ Descriptif Type de source Fichier local Type de fichier Fichier CSV avec un en-tête (.csv) Nombre de lignes avant la ligne avec les en-têtes Entrez le nombre de lignes avant la ligne d’en-tête qui se trouve dans votre fichier de données. Charger le fichier Faites un glisser-déposer de votre fichier de données, ou sélectionnez Parcourir les fichiers et sélectionnez le fichier à charger. Clé de recherche Entrez le nom d’une colonne de votre watchlist que vous voulez utiliser comme jointure avec d’autres données ou un objet de recherche fréquent. Par exemple, si votre serveur Watchlist contient des noms de pays/région et leurs codes de pays respectifs à deux lettres et que vous prévoyez d’utiliser souvent les codes de pays pour la recherche ou les jointures, utilisez la colonne Code en tant que SearchKey. Remarque
Si votre fichier CSV est supérieur à 3,8 Mo, vous devez utiliser les instructions pour créer une liste de surveillance volumineuse à partir d’un fichier dans stockage Azure.
Passez en revue les informations, vérifiez qu’elles sont correctes, puis sélectionnez Créer.
Une notification s’affiche une fois que la Watchlist est créée.
La création de la Watchlist et la mise à disposition des données dans les requêtes peuvent prendre plusieurs minutes.
Charger une liste de surveillance créée à partir d’un modèle (aperçu)
Pour créer une watchlist à partir d’un modèle que vous avez rempli :
Dans le portail Defender, accédez à Microsoft Sentinel>Configuration>Watchlist.
Sélectionnez l’onglet Modèles (préversion).
Sélectionnez le modèle approprié dans la liste pour voir les détails du modèle dans le volet droit.
Sélectionnez Créer à partir du modèle pour ouvrir l’assistant Watchlist.
Dans la page Général , notez que les champs Nom, Description et Alias sont tous en lecture seule. Sélectionnez Suivant : Source.
Dans la page Source , sélectionnez Rechercher les fichiers, puis sélectionnez le fichier que vous avez créé à partir du modèle.
Sélectionnez Suivant : Réviser + créer, puis sélectionnez Créer. Une notification s’affiche une fois que la Watchlist est créée.
La création de la Watchlist et la mise à disposition des données dans les requêtes peuvent prendre plusieurs minutes.
Créer une grande Watchlist à partir d’un fichier dans Stockage Azure (préversion)
Si vous avez une grande Watchlist d’une taille maximale de 500 Mo, chargez votre fichier Watchlist sur votre compte Stockage Azure. Créez ensuite une URL de signature d’accès partagé pour que Microsoft Sentinel récupère les données Watchlist. Une URL de signature d’accès partagé est un URI qui contient à la fois l’URI de ressource et le jeton de signature d’accès partagé d’une ressource comme un fichier CSV dans votre compte de stockage. Enfin, ajoutez la Watchlist à votre espace de travail dans Microsoft Sentinel.
Pour plus d’informations sur les signatures d’accès partagé, consultez Jeton de signature d’accès partagé de Stockage Azure.
Étape 1 : Charger un fichier Watchlist sur Stockage Azure
Pour charger un grand fichier Watchlist sur votre compte Stockage Azure, utilisez AzCopy ou le portail Azure.
- Si vous ne disposez pas encore d’un compte Stockage Azure, créez un compte de stockage. Le compte de stockage peut être dans un autre groupe de ressources ou une autre région de votre espace de travail dans Microsoft Sentinel.
- Utilisez AzCopy ou le portail Azure pour charger votre fichier CSV avec vos données watchlist dans le compte de stockage.
Charger votre fichier avec AzCopy
Chargez des fichiers et des répertoires vers le stockage d’objets blob avec l’utilitaire en ligne de commande AzCopy v10. Pour en savoir plus, consultez Charger des fichiers sur Stockage Blob Azure avec AzCopy.
Si vous n’avez pas encore de conteneur de stockage, créez-en un en exécutant la commande suivante.
azcopy make https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>Ensuite, exécutez la commande suivante pour charger le fichier.
azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'
Charger votre fichier dans le portail Azure
Si vous n’utilisez pas AzCopy, chargez votre fichier avec le portail Azure. Accédez à votre compte de stockage dans le portail Azure pour charger le fichier CSV avec vos données watchlist.
- Si vous n’avez pas encore de conteneur de stockage, créez-en un. Pour le niveau d’accès public au conteneur, utilisez la valeur par défaut définie sur Private (pas d’accès anonyme).
- Chargez un objet blob de blocs pour charger votre fichier CSV dans le compte de stockage.
Étape 2 : Créer une URL de signature d’accès partagé
Créez une URL de signature d’accès partagé pour que Microsoft Sentinel récupère les données Watchlist.
- Suivez les étapes de la procédure Créer des jetons SAS pour les blobs dans le portail Azure.
- Définissez l’heure d’expiration du jeton de signature d’accès partagé sur au moins six heures.
- Conservez la valeur par défaut pour adresses IP autorisées vide.
- Copiez la valeur de l’URL SAS d’objet blob.
Étape 3 : Ajouter Azure à l’onglet CORS
Avant d’utiliser un URI SAS, ajoutez le Portail Azure au partage de ressources cross-origin (CORS).
- Accédez aux paramètres du compte de stockage, page partage de ressources .
- Sélectionnez l’onglet du service BLOB.
- Ajoutez
https://*.portal.azure.netà la table d’origines autorisées. - Sélectionnez les méthodes autorisées appropriées de
GETetOPTIONS. - Enregistrez la configuration.
Pour plus d’informations, consultez prise en charge de CORS pour le stockage Azure.
Étape 4 : Ajouter la Watchlist à un espace de travail
Dans le portail Defender, accédez à Microsoft Sentinel>Configuration>Watchlist.
Sélectionnez + Nouveau pour ouvrir l’Assistant de liste de surveillance.
Dans la page Général , entrez le nom, la description et l’alias de la liste de surveillance, puis sélectionnez Suivant : Source.
Dans la page Source , utilisez les informations du tableau suivant pour charger vos données watchlist, puis sélectionnez Suivant : Vérifier + créer.
Champ Descriptif Type de source Stockage Azure (préversion) Sélectionner un type pour le jeu de données Fichier CSV avec un en-tête (.csv) Nombre de lignes avant la ligne avec les en-têtes Entrez le nombre de lignes avant la ligne d’en-tête qui se trouve dans votre fichier de données. URL SAS d’objet blob (préversion) Collez l’URL d’accès partagé que vous avez créée. Clé de recherche Entrez le nom d’une colonne de votre watchlist que vous voulez utiliser comme jointure avec d’autres données ou un objet de recherche fréquent. Par exemple, si votre serveur Watchlist contient des noms de pays/région et leurs codes de pays respectifs à deux lettres et que vous prévoyez d’utiliser souvent les codes de pays pour la recherche ou les jointures, utilisez la colonne Code en tant que SearchKey. Passez en revue les informations, vérifiez qu’elles sont correctes, puis sélectionnez Créer. Une notification s’affiche une fois que la Watchlist est créée.
La création d’une grande Watchlist et la mise à disposition des données dans les requêtes peuvent prendre un certain temps.
Créer une liste de surveillance manuellement (aperçu)
Pour créer une liste de surveillance à partir de zéro :
Dans le portail Defender, accédez à Microsoft Sentinel>Configuration>Watchlist.
Sélectionnez + Nouveau pour ouvrir l'Assistant de la liste de surveillance.
Dans la page Général , entrez le nom, la description et l’alias de la liste de surveillance, puis sélectionnez Suivant : Source.
Dans la page Source , choisissez Manuel (préversion) comme type de source.
Ajoutez et définissez les noms de colonnes pour votre watchlist. Choisissez la colonne qui sert de clé de recherche. Cette clé est la colonne de votre liste de surveillance que vous prévoyez d’utiliser comme jointure avec d’autres données ou comme un élément fréquemment recherché.
Sélectionnez Suivant : Vérifier + créer.
Passez en revue les informations, vérifiez qu’elles sont correctes, puis sélectionnez Créer. Une notification s’affiche une fois que la Watchlist est créée.
La création de la Watchlist et la mise à disposition des données dans les requêtes peuvent prendre plusieurs minutes.
Remarque
Les watchlists que vous créez automatiquement contiennent automatiquement une seule entrée qui utilise des valeurs par défaut. Vous pouvez mettre à jour cette entrée si nécessaire. Pour plus d’informations, consultez Gérer les watchlists.
Afficher l’état de la Watchlist
Pour afficher l’état d’une liste de surveillance dans votre espace de travail :
Dans le portail Defender, accédez à Microsoft Sentinel>Configuration>Watchlist.
Sous l’onglet Mes Watchlists, sélectionnez la Watchlist.
Dans la page des détails, vérifiez l’État (préversion).
Lorsque l’état est Réussi, sélectionnez Afficher dans les journaux pour utiliser la liste de surveillance dans une requête. L’affichage de la Watchlist dans Log Analytics peut prendre plusieurs minutes.
Télécharger le modèle de Watchlist (préversion)
Téléchargez un des modèles de watchlist de Microsoft Sentinel pour le remplir avec vos données. Ensuite, chargez ce fichier quand vous créez la watchlist dans Microsoft Sentinel.
Chaque modèle de watchlist intégré a son propre jeu de données listé dans le fichier CSV attaché au modèle. Pour plus d’informations, consultez Schémas de watchlist intégrés.
Pour télécharger l’un des modèles watchlist :
Dans le portail Defender, accédez à Microsoft Sentinel>Configuration>Watchlist.
Sélectionnez l’onglet Modèles (préversion).
Sélectionnez un modèle dans la liste pour voir les détails du modèle dans le volet droit.
Sélectionnez les points de suspension ... à la fin de la ligne.
Sélectionnez Télécharger le schéma.
Remplissez votre version locale du fichier et enregistrez-la localement dans un fichier CSV.
Suivez les étapes permettant de charger une Watchlist créée à partir d’un modèle (préversion).
Watchlists supprimées et recréées dans la vue Log Analytics
Si vous supprimez et recréez une watchlist, vous pouvez voir les entrées supprimées et recréées dans Log Analytics pendant les cinq minutes du contrat SLA de l’ingestion des données. Si vous voyez ces entrées dans Log Analytics pendant plus longtemps, envoyez un ticket de support.
Contenu connexe
Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :
- Découvrez comment avoir une visibilité sur vos données et les menaces potentielles
- Démarrez avec la détection des menaces avec Microsoft Sentinel
- Utilisez des classeurs pour superviser vos données.
- Gérer les watchlists
- Créer des requêtes et des règles de détection avec des watchlists