Udostępnij przez

Tworzenie list do obejrzenia w usłudze Microsoft Sentinel

  • Dotyczy: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Listy obserwacyjne w Microsoft Sentinel pomagają skorelować dane ze źródeł, które dostarczasz, z zdarzeniami w środowisku Microsoft Sentinel. Możesz na przykład utworzyć listę do obejrzenia z listą zasobów o wysokiej wartości, zakończonymi pracownikami lub kontami usług w danym środowisku.

Listę do obejrzenia można utworzyć przy użyciu dowolnej z następujących metod:

Obecnie można przekazywać pliki lokalne o rozmiarze do 3,8 MB. Plik, który wynosi ponad 3,8 MB i do 500 MB, jest uważany za dużą listę obserwowanych plików. Aby przekazać dużą listę obserwacyjną, przekaż plik do konta Azure Storage. Przed utworzeniem listy do obejrzenia zapoznaj się z ograniczeniami list do obejrzenia.

Dane w tabeli Log Analytics Watchlist są przechowywane przez 28 dni.

Ważne

Funkcje szablonów listy obserwacji, możliwość tworzenia listy obserwacji na podstawie pliku w usłudze Azure Storage oraz możliwość ręcznego tworzenia listy obserwacji są obecnie dostępne w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Począwszy od lipca 2026 r., wszyscy klienci korzystający z usługi Microsoft Sentinel w witrynie Azure Portal zostaną przekierowani do portalu usługi Defender i będą używać usługi Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych użytkowników jest również automatycznie dołączanych i przekierowywanych z witryny Azure Portal do portalu Defender. Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).

Przekazywanie listy obserwowanych z folderu lokalnego

Istnieją dwa sposoby przekazywania pliku CSV z komputera lokalnego w celu utworzenia listy do obejrzenia.

Prześlij listę obserwowanych z pliku, który utworzyłeś

Jeśli nie użyłeś szablonu listy obserwacji do utworzenia pliku:

  1. W portalu usługi Defender przejdź do Microsoft Sentinel>Konfiguracja>listy obserwowanych.

  2. Wybierz + Nowy, aby otworzyć kreatora listy obserwowanych.

    Zrzut ekranu przedstawiający opcję dodawania do listy obserwowanych na stronie listy obserwowanych.

  3. Na stronie Ogólne wprowadź nazwę, opis i alias listy obserwowanych, a następnie wybierz pozycję Dalej: Źródło.

    Zrzut ekranu zakładki ogólne w kreatorze listy obserwowanych.

  4. Na stronie Źródło użyj informacji w poniższej tabeli, aby załadować dane listy obserwowanych zasobów, a następnie wybierz Dalej: Przejrzyj i utwórz.

    Pole opis
    Typ źródła Plik lokalny
    Typ pliku Plik CSV z nagłówkiem (.csv)
    Liczba wierszy przed wierszem z nagłówkami Wprowadź liczbę wierszy przed wierszem nagłówka, który znajduje się w pliku danych.
    Przekaż plik Przeciągnij i upuść plik danych lub wybierz pozycję Przeglądaj w poszukiwaniu plików i wybierz plik do przekazania.
    Klucz wyszukiwania Wprowadź nazwę kolumny na liście obserwowanych, która ma być używana jako sprzężenie z innymi danymi lub częstym obiektem wyszukiwania. Jeśli na przykład lista obserwacyjna serwera zawiera nazwy krajów/regionów i odpowiednie dwuliterowe kody krajów, i oczekujesz, że kody krajów będą często używane do wyszukiwania lub łączenia, użyj kolumny Code jako klucz wyszukiwania.

    Uwaga

    Jeśli plik CSV jest większy niż 3,8 MB, należy użyć instrukcji dotyczących tworzenia dużej listy kontrolnej z pliku w usłudze Azure Storage.

    Zrzut ekranu przedstawiający zakładkę źródłową listy obserwowanych.

  5. Przejrzyj informacje, sprawdź, czy są poprawne, a następnie wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający stronę przeglądu listy obserwowanych.

    Po utworzeniu listy do obejrzenia zostanie wyświetlone powiadomienie.

Utworzenie listy do obejrzenia i udostępnienie nowych danych w zapytaniach może potrwać kilka minut.

Przesyłanie listy obserwacyjnej utworzonej na podstawie szablonu (wersja zapoznawcza)

Aby utworzyć listę obserwacyjną z wypełnionego szablonu:

  1. W portalu usługi Defender przejdź do Microsoft Sentinel>Konfiguracja>Watchlisty.

  2. Wybierz kartę Szablony (wersja zapoznawcza).

  3. Wybierz odpowiedni szablon z listy, aby wyświetlić szczegóły szablonu w okienku po prawej stronie.

  4. Wybierz Utwórz z szablonu aby otworzyć kreator listy obserwowanych.

    Zrzut ekranu przedstawiający opcję utworzenia listy do obejrzenia na podstawie wbudowanego szablonu.

  5. Na stronie Ogólne zwróć uwagę, że pola Nazwa, Opis i Alias są tylko do odczytu. Wybierz Dalej: Źródło.

  6. Na stronie Źródło wybierz pozycję Przeglądaj dla plików, a następnie wybierz plik utworzony na podstawie szablonu.

  7. Wybierz Dalej: Przegląd + utwórz, a następnie Utwórz. Po utworzeniu listy do obejrzenia zostanie wyświetlone powiadomienie.

Utworzenie listy do obejrzenia i udostępnienie nowych danych w zapytaniach może potrwać kilka minut.

Tworzenie dużej listy obserwowanych na podstawie pliku w usłudze Azure Storage (wersja zapoznawcza)

Jeśli masz dużą listę obserwowanych o rozmiarze do 500 MB, przekaż plik listy do obejrzenia na konto usługi Azure Storage. Następnie utwórz adres URL sygnatury dostępu współdzielonego dla usługi Microsoft Sentinel, aby pobrać dane listy obserwowanych. Adres URL sygnatury dostępu współdzielonego to identyfikator URI, który zawiera zarówno identyfikator URI zasobu, jak i token dostępu współdzielonego zasobu, taki jak plik CSV na koncie magazynu. Na koniec dodaj listę obserwowanych do obszaru roboczego w usłudze Microsoft Sentinel.

Aby uzyskać więcej informacji na temat sygnatur dostępu współdzielonego, zobacz Token sygnatury dostępu współdzielonego usługi Azure Storage.

Krok 1. Przekazywanie pliku listy obserwowanych do usługi Azure Storage

Aby przekazać duży plik listy do obejrzenia na konto usługi Azure Storage, użyj narzędzia AzCopy lub witryny Azure Portal.

  1. Jeśli nie masz jeszcze konta Azure Storage, utwórz konto magazynowe. Konto magazynu może znajdować się w innej grupie zasobów lub regionie z obszaru roboczego w usłudze Microsoft Sentinel.
  2. Użyj narzędzia AzCopy lub portalu Azure, aby przesłać plik CSV z danymi listy obserwowanych do konta przechowywania.

Przekazywanie pliku za pomocą narzędzia AzCopy

Przekaż pliki i katalogi do usługi Blob Storage przy użyciu narzędzia wiersza polecenia AzCopy w wersji 10. Aby dowiedzieć się więcej, zobacz Przekazywanie plików do usługi Azure Blob Storage przy użyciu narzędzia AzCopy.

  1. Jeśli nie masz jeszcze kontenera magazynu, utwórz go, uruchamiając następujące polecenie.

    azcopy make 
https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>

  2. Następnie uruchom następujące polecenie, aby przekazać plik.

    azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'

Przekazywanie pliku w witrynie Azure Portal

Jeśli nie używasz narzędzia AzCopy, przekaż plik przy użyciu witryny Azure Portal. Przejdź do konta magazynowego w portalu Azure, aby przekazać plik CSV z danymi listy kontrolnej.

  1. Jeśli nie masz jeszcze istniejącego kontenera magazynu, utwórz kontener. Dla poziomu publicznego dostępu do kontenera użyj wartości domyślnej, która jest ustawiona na Prywatny (bez dostępu anonimowego).
  2. Przesłać obiekt Blob, aby wgrać plik CSV na konto Storage.

Krok 2. Tworzenie adresu URL sygnatury dostępu współdzielonego

Utwórz adres URL sygnatury dostępu współdzielonego dla usługi Microsoft Sentinel, aby pobrać dane listy obserwowanych.

  1. Wykonaj kroki opisane w artykule Tworzenie tokenów SAS dla obiektów blob w witrynie Azure Portal.
  2. Ustaw czas wygaśnięcia tokenu sygnatury dostępu współdzielonego na co najmniej sześć godzin.
  3. Zachowaj wartość domyślną dozwolonych adresów IP jako pustą.
  4. Skopiuj wartość dla Blob SAS URL.

Krok 3. Dodawanie platformy Azure do karty CORS

Przed użyciem identyfikatora URI sygnatury dostępu współdzielonego dodaj witrynę Azure Portal do współużytkowania zasobów między źródłami (CORS).

  1. Przejdź do ustawień konta magazynu, w sekcji Udostępnianie zasobów.
  2. Wybierz kartę Blob Service .
  3. Dodaj https://*.portal.azure.net do tabeli dozwolonych źródeł.
  4. Wybierz odpowiednie dozwolone metody dla GET i OPTIONS.
  5. Zapisz konfigurację.

Aby uzyskać więcej informacji, zobacz Obsługa mechanizmu CORS dla usługi Azure Storage.

Krok 4. Dodawanie listy obserwowanych do obszaru roboczego

  1. W portalu Defender przejdź do Microsoft Sentinel>konfiguracji>listy obserwowanych.

  2. Wybierz + Nowy, aby otworzyć kreatora listy obserwacyjnej.

  3. Na stronie Ogólne wprowadź nazwę, opis i alias listy obserwowanych, a następnie wybierz pozycję Dalej: Źródło.

  4. Na stronie Źródło użyj informacji z poniższej tabeli, aby załadować dane z listy obserwowanej, a następnie wybierz Dalej: Zrecenzuj i utwórz.

    Pole opis
    Typ źródła Azure Storage (wersja zapoznawcza)
    Wybierz typ zestawu danych Plik CSV z nagłówkiem (.csv)
    Liczba wierszy przed wierszem z nagłówkami Wprowadź liczbę wierszy przed wierszem nagłówka, który znajduje się w pliku danych.
    Adres URL sygnatury dostępu współdzielonego obiektu blob (wersja zapoznawcza) Wklej utworzony adres URL dostępu współdzielonego.
    Klucz wyszukiwania Wprowadź nazwę kolumny na liście obserwowanych, która ma być używana jako sprzężenie z innymi danymi lub częstym obiektem wyszukiwania. Jeśli na przykład lista obserwacyjna serwera zawiera nazwy krajów/regionów i odpowiednie dwuliterowe kody krajów, i oczekujesz, że kody krajów będą często używane do wyszukiwania lub łączenia, użyj kolumny Code jako klucz wyszukiwania.

  5. Przejrzyj informacje, sprawdź, czy są poprawne, a następnie wybierz pozycję Utwórz. Po utworzeniu listy do obejrzenia zostanie wyświetlone powiadomienie.

Utworzenie dużej listy obserwacyjnej i udostępnienie nowych danych w zapytaniach może zająć trochę czasu.

Ręczne tworzenie listy obserwowanych (wersja zapoznawcza)

Aby utworzyć listę obserwowanych od podstaw:

  1. W portalu usługi Defender przejdź do Microsoft Sentinel>Konfiguracja>Lista obserwowanych.

  2. Wybierz pozycję + Nowy, aby otworzyć kreator listy do obejrzenia.

  3. Na stronie Ogólne wprowadź nazwę, opis i alias listy obserwowanych, a następnie wybierz pozycję Dalej: Źródło.

  4. Na stronie Źródło wybierz pozycję Ręczne (wersja zapoznawcza) jako typ źródła.

  5. Dodaj i zdefiniuj nazwy kolumn dla listy obserwowanych. Wybierz kolumnę, która służy jako klucz wyszukiwania. Ten klucz to kolumna na liście obserwacyjnej, którą zamierzasz używać jako połączenie z innymi danymi lub jako często wyszukiwany element.

    Zrzut ekranu przedstawiający opcję ręcznego utworzenia listy do obejrzenia.

  6. Wybierz Dalej: Przejrzyj i utwórz.

  7. Przejrzyj informacje, sprawdź, czy są poprawne, a następnie wybierz pozycję Utwórz. Po utworzeniu listy do obejrzenia zostanie wyświetlone powiadomienie.

Utworzenie listy do obejrzenia i udostępnienie nowych danych w zapytaniach może potrwać kilka minut.

Uwaga

Listy do obejrzenia tworzone ręcznie automatycznie zawierają pojedynczy wpis, który używa wartości domyślnych. Ten wpis można zaktualizować zgodnie z potrzebami. Aby uzyskać więcej informacji, zobacz Zarządzanie listami do obejrzenia.

Wyświetlanie stanu listy obserwowanych

Aby wyświetlić stan listy do obejrzenia w obszarze roboczym:

  1. W portalu usługi Defender przejdź do Microsoft Sentinel>Konfiguracja>Lista obserwowanych.

  2. Na karcie Moje listy do obejrzenia wybierz listę obserwowanych.

  3. Na stronie szczegółów przejrzyj stan (wersja zapoznawcza).

    Zrzut ekranu przedstawiający stan listy obserwowanych.

  4. Gdy stan to Powodzenie, wybierz pozycję Wyświetl w dziennikach, aby użyć listy obserwacyjnej w zapytaniu. Wyświetlenie listy do obejrzenia w usłudze Log Analytics może potrwać kilka minut.

    Zrzut ekranu przedstawiający stronę listy obserwowanych z wyróżnionym przyciskiem Wyświetl w dziennikach.

Pobieranie szablonu listy do obejrzenia (wersja zapoznawcza)

Pobierz jeden z szablonów listy obserwowanych z usługi Microsoft Sentinel, aby wypełnić dane. Następnie przekaż ten plik podczas tworzenia listy do obejrzenia w usłudze Microsoft Sentinel.

Każdy wbudowany szablon listy obserwowanych ma własny zestaw danych wymienionych w pliku CSV dołączonym do szablonu. Aby uzyskać więcej informacji, zobacz Wbudowane schematy listy obserwowanych.

Aby pobrać jeden z szablonów listy obserwowanych:

  1. W portalu usługi Defender przejdź do Microsoft Sentinel>Konfiguracja>Lista obserwowanych.

  2. Wybierz kartę Szablony (wersja zapoznawcza).

  3. Wybierz szablon z listy, aby wyświetlić szczegóły szablonu w okienku po prawej stronie.

  4. Wybierz wielokropek ... na końcu wiersza.

  5. Wybierz pozycję Pobierz schemat.

    Zrzut ekranu przedstawiający kartę szablonów z wybranym schematem pobierania.

  6. Wypełnij lokalną wersję pliku i zapisz go lokalnie jako plik CSV.

  7. Postępuj zgodnie z instrukcjami, aby przesłać listę obserwacyjną utworzoną na podstawie szablonu (Podgląd).

Usunięte i ponownie tworzone listy obserwowanych w widoku usługi Log Analytics

Jeśli usuniesz i ponownie utworzysz listę do obejrzenia, możesz zobaczyć zarówno usunięte, jak i ponownie utworzone wpisy w usłudze Log Analytics w ramach pięciominutowej umowy SLA na potrzeby pozyskiwania danych. Jeśli te wpisy są widoczne razem w usłudze Log Analytics przez dłuższy czas, prześlij bilet pomocy technicznej.

Powiązana zawartość

Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:

  • Last updated on