Delen via

Volglijsten maken in Microsoft Sentinel

  • Van toepassing op: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Volglijsten in Microsoft Sentinel helpen u bij het correleren van gegevens uit een gegevensbron die u verstrekt met de gebeurtenissen in uw Microsoft Sentinel-omgeving. U kunt bijvoorbeeld een volglijst maken met een lijst met activa met hoge waarde, beëindigde werknemers of serviceaccounts in uw omgeving.

U kunt een volglijst maken met behulp van een van de volgende methoden:

U kunt momenteel lokale bestanden van maximaal 3,8 MB uploaden. Een bestand van meer dan 3,8 MB en maximaal 500 MB wordt beschouwd als een grote volglijst. Als u een grote volglijst wilt uploaden, uploadt u het bestand naar een Azure Storage-account. Bekijk de beperkingen van watchlists voordat u een volglijst maakt.

Gegevens in de Log Analytics Watchlist-tabel worden 28 dagen bewaard.

Belangrijk

De functies voor volglijstsjablonen, de mogelijkheid om een volglijst te maken op basis van een bestand in Azure Storage en de mogelijkheid om handmatig een volglijst te maken, zijn momenteel in PREVIEW. De aanvullende voorwaarden van Azure Preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die zich in bèta, preview of anderszins nog niet in algemene beschikbaarheid bevinden.

Vanaf juli 2026 worden alle klanten die Microsoft Sentinel in Azure Portal gebruiken, omgeleid naar de Defender-portal en gebruiken ze alleen Microsoft Sentinel in de Defender-portal. Vanaf juli 2025 worden veel nieuwe gebruikers ook automatisch aan boord gebracht en omgeleid van de Azure-portal naar de Defender-portal. Als u Nog steeds Microsoft Sentinel gebruikt in Azure Portal, raden we u aan om te beginnen met het plannen van uw overgang naar de Defender-portal om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden aangeboden. Zie Het is tijd om te verplaatsen voor meer informatie: De Azure-portal van Microsoft Sentinel buiten gebruik stellen voor betere beveiliging.

Een volglijst uploaden vanuit een lokale map

U hebt twee manieren om een CSV-bestand vanaf uw lokale computer te uploaden om een volglijst te maken.

Een volglijst uploaden vanuit een bestand dat u hebt gemaakt

Als u geen volglijstsjabloon hebt gebruikt om uw bestand te maken:

  1. Ga in de Defender-portal naar microsoft Sentinel>Configuration>Watchlist.

  2. Selecteer + Nieuw om de Volglijstwizard te openen.

    Schermopname van de optie Watchlist toevoegen op de pagina Volglijst.

  3. Voer op de pagina Algemeen de naam, beschrijving en alias voor de volglijst in en selecteer vervolgens Volgende: Bron.

    Schermopname van het tabblad Algemeen van de volglijst in de wizard voor volglijsten.

  4. Gebruik op de pagina Bron de informatie in de volgende tabel om uw volglijstgegevens te uploaden en selecteer vervolgens Volgende: Beoordelen en maken.

    Veld Beschrijving
    Brontype Lokaal bestand
    Bestandstype CSV-bestand met een koptekst (.csv)
    Aantal regels vóór rij met koppen Voer het aantal regels in vóór de veldnamenrij in het gegevensbestand.
    Bestand uploaden Sleep het gegevensbestand en zet het neer of selecteer Bladeren naar bestanden en selecteer het bestand dat u wilt uploaden.
    Zoeksleutel Voer de naam in van een kolom in uw volglijst die u verwacht te gebruiken als join met andere gegevens of een frequent object met zoekopdrachten. Als uw server-watchlist bijvoorbeeld land-/regionamen en hun respectieve landcodes van twee letters bevat en u verwacht dat u de landcodes vaak gebruikt voor zoekopdrachten of joins, gebruikt u de kolom Code als de SearchKey.

    Notitie

    Als uw CSV-bestand groter is dan 3,8 MB, moet u de instructies gebruiken voor het maken van een grote volglijst van bestand in Azure Storage.

    Schermopname van het tabblad Bron van de watchlist.

  5. Controleer de informatie, controleer of deze juist is en selecteer vervolgens Maken.

    Schermopname van de controlepagina van de watchlist.

    Er wordt een melding weergegeven zodra de volglijst is gemaakt.

Het kan enkele minuten duren voordat de volglijst is gemaakt en de nieuwe gegevens beschikbaar zijn in query's.

Een volglijst uploaden die is gemaakt op basis van een sjabloon (preview)

Een volglijst maken op basis van een sjabloon die u hebt ingevuld:

  1. Ga in de Defender-portal naar microsoft Sentinel>Configuration>Watchlist.

  2. Selecteer de tab Templates (Preview).

  3. Selecteer de juiste sjabloon in de lijst om details van de sjabloon in het rechterdeelvenster weer te geven.

  4. Selecteer Maken vanuit sjabloon om de Volglijst-assistent te openen.

    Schermopname van de optie voor het maken van een volglijst op basis van een ingebouwde sjabloon.

  5. Op de pagina Algemeen ziet u dat de velden Naam, Beschrijving en Alias allemaal alleen-lezen zijn. Selecteer Volgende: Bron.

  6. Selecteer Op de pagina Bron de optie Bladeren naar bestanden en selecteer vervolgens het bestand dat u hebt gemaakt op basis van de sjabloon.

  7. Selecteer Volgende: Beoordelen en maken en selecteer maken om vervolgens. Er wordt een melding weergegeven zodra de volglijst is gemaakt.

Het kan enkele minuten duren voordat de volglijst is gemaakt en de nieuwe gegevens beschikbaar zijn in query's.

Een grote volglijst maken op basis van een bestand in Azure Storage (preview)

Als u een grote volglijst van maximaal 500 MB hebt, uploadt u het volglijstbestand naar uw Azure Storage-account. Maak vervolgens een handtekening-URL voor gedeelde toegang voor Microsoft Sentinel om de volglijstgegevens op te halen. Een handtekening-URL voor gedeelde toegang is een URI die zowel de resource-URI als het shared access Signature-token van een resource bevat, zoals een CSV-bestand in uw opslagaccount. Voeg tot slot de volglijst toe aan uw werkruimte in Microsoft Sentinel.

Zie het Shared Access Signature-token van Azure Storage voor meer informatie over handtekeningen voor gedeelde toegang.

Stap 1: Een volglijstbestand uploaden naar Azure Storage

Als u een groot volglijstbestand wilt uploaden naar uw Azure Storage-account, gebruikt u AzCopy of Azure Portal.

  1. Als u nog geen Azure Storage-account hebt, maakt u een opslagaccount. Het opslagaccount kan zich in een andere resourcegroep of regio bevinden vanuit uw werkruimte in Microsoft Sentinel.
  2. Gebruik AzCopy of Azure Portal om uw CSV-bestand te uploaden met uw volglijstgegevens naar het opslagaccount.

Uw bestand uploaden met AzCopy

Upload bestanden en mappen naar Blob Storage met behulp van het opdrachtregelprogramma AzCopy v10. Zie Bestanden uploaden naar Azure Blob Storage met behulp van AzCopy voor meer informatie.

  1. Als u nog geen opslagcontainer hebt, maakt u er een door de volgende opdracht uit te voeren.

    azcopy make 
https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>

  2. Voer vervolgens de volgende opdracht uit om het bestand te uploaden.

    azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'

Uw bestand uploaden in Azure Portal

Als u AzCopy niet gebruikt, uploadt u uw bestand met behulp van Azure Portal. Ga naar uw opslagaccount in Azure Portal om het CSV-bestand te uploaden met uw volglijstgegevens.

  1. Als u nog geen bestaande opslagcontainer hebt, maakt u een container. Gebruik voor het niveau van openbare toegang tot de container de standaardinstelling die is ingesteld op Privé (geen anonieme toegang).
  2. Upload een block blob om uw CSV-bestand naar het opslagaccount te uploaden.

Stap 2: Handtekening-URL voor gedeelde toegang maken

Maak een handtekening-URL voor gedeelde toegang voor Microsoft Sentinel om de volglijstgegevens op te halen.

  1. Volg de stappen in SAS-tokens maken voor blobs in Azure Portal.
  2. Stel de verlooptijd van het handtekeningtoken voor gedeelde toegang in op ten minste zes uur.
  3. Behoud de standaardwaarde voor toegestane IP-adressen als leeg.
  4. Kopieer de waarde voor blob-SAS-URL.

Stap 3: Azure toevoegen aan het tabblad CORS

Voordat u een SAS-URI gebruikt, voegt u Azure Portal toe aan cors (Cross Origin Resource Sharing).

  1. Ga naar de instellingen van het opslagaccount, de pagina Resourcebeheer.
  2. Selecteer het tabblad Blob-service .
  3. Toevoegen https://*.portal.azure.net aan de tabel toegestane origins.
  4. Selecteer de juiste toegestane methoden van GET en OPTIONS.
  5. Sla de configuratie op.

Zie CORS-ondersteuning voor Azure Storage voor meer informatie.

Stap 4: De volglijst toevoegen aan een werkruimte

  1. Ga in de Defender-portal naar microsoft Sentinel>Configuration>Watchlist.

  2. Selecteer + Nieuw om de Volglijst-wizard te openen.

  3. Voer op de pagina Algemeen de naam, beschrijving en alias voor de volglijst in en selecteer vervolgens Volgende: Bron.

  4. Gebruik op de pagina Bron de informatie in de volgende tabel om uw volglijstgegevens te uploaden en selecteer vervolgens Volgende: Beoordelen en maken.

    Veld Beschrijving
    Brontype Azure Storage (Preview)
    Selecteer een type voor de gegevensset CSV-bestand met een koptekst (.csv)
    Aantal regels vóór rij met koppen Voer het aantal regels in vóór de veldnamenrij in het gegevensbestand.
    SAS-URL voor blob (preview) Plak de gedeelde toegangs-URL die u hebt gemaakt.
    Zoeksleutel Voer de naam in van een kolom in uw volglijst die u verwacht te gebruiken als join met andere gegevens of een frequent object met zoekopdrachten. Als uw server-watchlist bijvoorbeeld land-/regionamen en hun respectieve landcodes van twee letters bevat en u verwacht dat u de landcodes vaak gebruikt voor zoekopdrachten of joins, gebruikt u de kolom Code als de SearchKey.

  5. Controleer de informatie, controleer of deze juist is en selecteer vervolgens Maken. Er wordt een melding weergegeven zodra de volglijst is gemaakt.

Het kan even duren voordat een grote volglijst is gemaakt en dat de nieuwe gegevens beschikbaar zijn in query's.

Handmatig een volglijst maken (preview)

Een volledig nieuwe watchlist maken:

  1. Ga in de Defender-portal naar microsoft Sentinel>Configuration>Watchlist.

  2. Selecteer + Nieuw om de Volglijstwizard te openen.

  3. Voer op de pagina Algemeen de naam, beschrijving en alias voor de volglijst in en selecteer vervolgens Volgende: Bron.

  4. Kies op de Bron pagina, Handmatig (Voorvertoning) als Brontype.

  5. Voeg de kolomnamen voor uw volglijst toe en definieer deze. Kies de kolom die fungeert als uw zoeksleutel. Deze sleutel is de kolom in uw volglijst die u verwacht te gebruiken om te koppelen met andere gegevens of als een frequent object van zoekopdrachten.

    Schermopname van de optie om handmatig een volglijst te maken.

  6. Selecteer Volgende: Beoordelen en maken.

  7. Controleer de informatie, controleer of deze juist is en selecteer vervolgens Maken. Er wordt een melding weergegeven zodra de volglijst is gemaakt.

Het kan enkele minuten duren voordat de volglijst is gemaakt en de nieuwe gegevens beschikbaar zijn in query's.

Notitie

Volglijsten die u handmatig maakt, bevatten automatisch één vermelding die gebruikmaakt van standaardwaarden. U kunt deze vermelding indien nodig bijwerken. Zie Volglijsten beheren voor meer informatie.

Status van volglijst weergeven

De status van een volglijst in uw werkruimte weergeven:

  1. Ga in de Defender-portal naar microsoft Sentinel>Configuration>Watchlist.

  2. Selecteer op het tabblad Mijn volglijsten de volglijst.

  3. Controleer de status (preview) op de detailpagina.

    Schermopname van de status op de volglijst.

  4. Wanneer de status Geslaagd is, selecteert u Weergeven in logboeken om de volglijst in een query te gebruiken. Het kan enkele minuten duren voordat de volglijst wordt weergegeven in Log Analytics.

    Schermopname van de watchlist-pagina met de knop Weergeven in logboeken gemarkeerd.

Watchlist-sjabloon downloaden (preview)

Download een van de volglijstsjablonen van Microsoft Sentinel om uw gegevens te vullen. Upload dat bestand vervolgens wanneer u de volglijst in Microsoft Sentinel maakt.

Elke ingebouwde volglijstsjabloon heeft een eigen set gegevens die worden vermeld in het CSV-bestand dat aan de sjabloon is gekoppeld. Zie ingebouwde volglijstschema's voor meer informatie.

Een van de volglijstsjablonen downloaden:

  1. Ga in de Defender-portal naar microsoft Sentinel>Configuration>Watchlist.

  2. Selecteer de tab Templates (Preview).

  3. Selecteer een sjabloon in de lijst om details van de sjabloon in het rechterdeelvenster weer te geven.

  4. Selecteer de beletstekens ... aan het einde van de rij.

  5. Selecteer Schema downloaden.

    Schermopname van het tabblad Sjablonen met het downloadschema geselecteerd.

  6. Vul uw lokale versie van het bestand in en sla het lokaal op als een CSV-bestand.

  7. Volg de stappen om de kijklijst te uploaden die is gemaakt op basis van een sjabloon (Voorbeeld).

Verwijderde en opnieuw gemaakte watchlists in de Log Analytics-weergave

Als u een volglijst verwijdert en opnieuw maakt, ziet u mogelijk zowel de verwijderde als de opnieuw gemaakte vermeldingen in Log Analytics binnen de SLA van vijf minuten voor gegevensopname. Als u deze vermeldingen gedurende langere tijd samen in Log Analytics ziet, dient u een ondersteuningsticket in.

Gerelateerde inhoud

Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:

  • Last updated on