Compartilhar via

Criar watchlists no Microsoft Sentinel

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

As listas de observação no Microsoft Sentinel ajudam você a correlacionar dados de uma fonte de dados que você fornece com os eventos em seu ambiente do Microsoft Sentinel. Por exemplo, você pode criar uma watchlist com uma lista de ativos de alto valor, funcionários demitidos ou contas de serviço em seu ambiente.

Você pode criar uma watchlist usando qualquer um dos seguintes métodos:

Atualmente, você pode carregar arquivos locais com até 3,8 MB de tamanho. Um arquivo com mais de 3,8 MB e até 500 MB é considerado uma grande lista de observação. Para carregar uma grande lista de observação, carregue o arquivo em uma conta de Armazenamento do Azure. Antes de criar uma watchlist, examine as limitações das watchlists.

Os dados na tabela Watchlist do Log Analytics são mantidos por 28 dias.

Importante

Os recursos para modelos de watchlist, a capacidade de criar uma watchlist de um arquivo no Armazenamento do Azure e a capacidade de criar uma watchlist manualmente estão atualmente em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão apenas o Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos usuários também são integrados e redirecionados automaticamente do portal do Azure para o portal do Defender. Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte É Hora de Mudar: Aposentando o portal Azure do Microsoft Sentinel para obter maior segurança.

Carregar uma watchlist de um arquivo local

Você tem duas maneiras de carregar um arquivo CSV de seu computador local para criar uma watchlist.

  • Para um arquivo de watchlist criado sem um modelo de watchlist: selecione Adicionar novo e insira as informações necessárias.
  • Para obter um arquivo de watchlist criado a partir de um modelo baixado do Microsoft Sentinel: acesse a guia Modelos de watchlist (versão prévia ). Selecione a opção Criar do modelo. O Azure preenche previamente o nome, a descrição e o alias da watchlist para você.

Carregar uma lista de observação de um arquivo que você criou

Se você não usou um modelo de watchlist para criar seu arquivo:

  1. No portal do Defender, vá para Microsoft Sentinel>Configuração>Lista de Observação.

  2. Selecione + Novo para abrir o assistente de Watchlist.

    Captura de tela da opção adicionar watchlist na página de watchlist.

  3. Na página Geral , insira o nome, a descrição e o alias da lista de observação e selecione Avançar: Origem.

    Captura de tela da guia geral da lista de observação no assistente de listas de observação.

  4. Na página Origem, use as informações na tabela a seguir para carregar os dados da lista de observação e selecione Avançar: Revisar + criar.

    Campo Descrição
    Tipo de fonte Arquivo local
    Tipo de arquivo Arquivo CSV com um cabeçalho (.csv)
    Número de linhas antes da linha com títulos Insira o número de linhas antes da linha de cabeçalho que está no arquivo de dados.
    Carregar arquivo Arraste e solte o arquivo de dados ou selecione Procurar arquivos e selecione o arquivo a ser carregado.
    Chave de Busca Insira o nome de uma coluna em sua watchlist que você espera usar como uma junção com outros dados ou um objeto frequente de pesquisas. Por exemplo, se a lista de observação do servidor contiver nomes de países/regiões e seus respectivos códigos de país/região de duas letras, e você espera usar os códigos de país/região com frequência para pesquisas ou junções, use a coluna Código como SearchKey.

    Observação

    Se o arquivo CSV for maior que 3,8 MB, você precisará usar as instruções para criar uma extensa lista de observação do arquivo no Azure Storage.

    Captura de tela mostrando a guia de origem da watchlist.

  5. Examine as informações, verifique se elas estão corretas e selecione Criar.

    Captura de tela da página de revisão da lista de observação.

    Uma notificação será exibida quando a watchlist for criada.

Pode levar vários minutos para que a watchlist seja criada e os novos dados sejam disponibilizados em consultas.

Carregar uma watchlist criada a partir de um modelo (versão prévia)

Para criar uma watchlist a partir de um modelo que você preencheu:

  1. No portal do Defender, vá para Microsoft Sentinel>Configuração>Lista de Observação.

  2. Selecione a guia Modelos (versão prévia).

  3. Selecione o modelo apropriado na lista para exibir detalhes do modelo no painel direito.

  4. Selecione Criar do modelo para abrir o assistente de Watchlist.

    Captura de tela da opção para criar uma lista de observação de um modelo interno.

  5. Na página Geral, observe que os campos Nome, Descrição e Alias são todos somente de leitura. Selecione Avançar: origem.

  6. Na página Origem , selecione Procurar arquivos e selecione o arquivo que você criou no modelo.

  7. Selecione Avançar: Revisar + criar, e então selecione Criar. Uma notificação será exibida quando a watchlist for criada.

Pode levar vários minutos para que a watchlist seja criada e os novos dados sejam disponibilizados em consultas.

Criar uma watchlist grande do arquivo no Armazenamento do Microsoft Azure (versão prévia)

Se você tem um arquivo grande de watchlist com até 500 MB de tamanho, carregue-o na sua conta do Armazenamento do Microsoft Azure. Em seguida, crie uma URL de assinatura de acesso compartilhado para o Microsoft Sentinel recuperar os dados da watchlist. Uma URL de assinatura de acesso compartilhado é um URI que contém o URI do recurso e o token de assinatura de acesso compartilhado de um recurso como um arquivo CSV em sua conta de armazenamento. Por fim, adicione a watchlist ao seu workspace no Microsoft Sentinel.

Para saber mais sobre as assinaturas de acesso compartilhado, confira Token de assinatura de acesso compartilhado do Armazenamento do Microsoft Azure.

Etapa 1: carregar um arquivo de watchlist para o Armazenamento do Microsoft Azure

Para carregar um arquivo de watchlist grande em sua conta do Armazenamento do Microsoft Azure, use AzCopy ou o portal do Azure.

  1. Se você ainda não tem uma conta do Armazenamento do Microsoft Azure, crie uma conta de armazenamento. A conta de armazenamento pode estar em um grupo de recursos ou região diferente do seu workspace no Microsoft Sentinel.
  2. Use o AzCopy ou o portal do Azure para carregar seu arquivo CSV com seus dados de watchlist na conta de armazenamento.

Carregar o arquivo com o AzCopy

Carregue arquivos e diretórios no Armazenamento de Blobs usando o utilitário de linha de comando AzCopy v10. Para saber mais, confira Carregar arquivos no Armazenamento de Blobs do Azure usando o AzCopy.

  1. Se você ainda não tem um contêiner de armazenamento, crie um executando o comando a seguir.

    azcopy make 
https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>

  2. Depois, execute o comando a seguir para carregar o arquivo.

    azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'

Carregar o arquivo no portal do Azure

Se você não usar o AzCopy, carregue o arquivo usando o portal do Azure. Acesse sua conta de armazenamento no portal do Azure para carregar o arquivo CSV com seus dados de watchlist.

  1. Se você ainda não tem um contêiner de armazenamento existente, crie um contêiner. Para o nível de acesso público ao contêiner, use o padrão definido como Privado (sem acesso anônimo).
  2. Carregue um blob de blocos para carregar seu arquivo CSV na conta de armazenamento.

Etapa 2: criar uma URL de assinatura de acesso compartilhado

Crie uma URL de assinatura de acesso compartilhado para o Microsoft Sentinel recuperar os dados da watchlist.

  1. Siga as etapas em Criar tokens de SAS para blobs no portal do Azure.
  2. Defina o tempo de expiração do token de assinatura de acesso compartilhado como pelo menos seis horas.
  3. Mantenha o valor padrão para Endereços IP permitidos em branco.
  4. Copie o valor de URL de SAS do blob.

Etapa 3: Adicionar o Azure à guia CORS

Antes de utilizar um URI SAS, adicione o portal do Azure ao CORS (compartilhamento de recursos entre origens).

  1. Vá para as configurações da conta de armazenamento, página Compartilhamento de recursos.
  2. Selecione a guia Serviço Blob.
  3. Adicione https://*.portal.azure.net à tabela de origens permitida.
  4. Selecione os Métodos permitidos apropriados de GET e OPTIONS.
  5. Salve a configuração.

Para obter mais informações, consulte Suporte a CORS para Armazenamento do Azure.

Etapa 4: Adicionar a watchlist a um workspace

  1. No portal do Defender, vá para Microsoft Sentinel>Configuração>Lista de Vigilância.

  2. Selecione + Novo para abrir o assistente de Watchlist.

  3. Na página Geral , insira o nome, a descrição e o alias da lista de observação e selecione Avançar: Origem.

  4. Na página Origem, use as informações na tabela a seguir para carregar os dados da lista de observação e selecione Avançar: Revisar + criar.

    Campo Descrição
    Tipo de fonte Armazenamento do Azure (versão prévia)
    Selecione um tipo para o conjunto de dados Arquivo CSV com um cabeçalho (.csv)
    Número de linhas antes da linha com títulos Insira o número de linhas antes da linha de cabeçalho que está no arquivo de dados.
    URL de SAS do Blob (versão prévia) Cole a URL de acesso compartilhado que você criou.
    Chave de Busca Insira o nome de uma coluna em sua watchlist que você espera usar como uma junção com outros dados ou um objeto frequente de pesquisas. Por exemplo, se a lista de observação do servidor contiver nomes de países/regiões e seus respectivos códigos de país/região de duas letras, e você espera usar os códigos de país/região com frequência para pesquisas ou junções, use a coluna Código como SearchKey.

  5. Examine as informações, verifique se elas estão corretas e selecione Criar. Uma notificação será exibida quando a watchlist for criada.

Pode levar algum tempo para que uma grande watchlist seja criada e que os novos dados estejam disponíveis em consultas.

Criar uma lista de observação manualmente (visualização prévia)

Para criar uma watchlist do zero:

  1. No portal do Defender, vá para Microsoft Sentinel>Configuração>Lista de Observação.

  2. Selecione + Novo para abrir o assistente de Watchlist.

  3. Na página Geral , insira o nome, a descrição e o alias da lista de observação e selecione Avançar: Origem.

  4. Na página Origem , escolha Manual (Versão Prévia) como o tipo de origem.

  5. Adicione e defina os nomes de coluna para a sua watchlist. Escolha a coluna que serve como sua Chave de Pesquisa. Essa chave é a coluna em sua watchlist que você espera usar como uma junção com outros dados ou um objeto frequente de pesquisas.

    Captura de tela da opção para criar uma watchlist manualmente.

  6. Selecione Avançar: Revisar + criar.

  7. Examine as informações, verifique se elas estão corretas e selecione Criar. Uma notificação será exibida quando a watchlist for criada.

Pode levar vários minutos para que a watchlist seja criada e os novos dados sejam disponibilizados em consultas.

Observação

As listas de observação criadas manualmente contêm automaticamente uma única entrada que usa valores padrão. Você pode atualizar essa entrada conforme necessário. Para obter mais informações, consulte Gerenciar watchlists.

Exibir status da watchlist

Para exibir o status de uma watchlist em seu workspace:

  1. No portal do Defender, vá para Microsoft Sentinel>Configuração>Watchlist.

  2. Na guia Minhas Watchlists, selecione a watchlist.

  3. Na página de detalhes, examine o Status (versão prévia).

    Captura de tela que mostra o status na watchlist.

  4. Quando o status for Êxito, selecione Exibir nos logs para usar a watchlist em uma consulta. Pode levar vários minutos para que a watchlist apareça no Log Analytics.

    Captura de tela da página da lista de observação com o botão Exibir nos logs realçado.

Baixar o modelo watchlist (versão prévia)

Baixe um dos modelos de watchlist do Microsoft Sentinel para preencher com seus dados. Em seguida, carregue esse arquivo quando você criar a watchlist no Microsoft Sentinel.

Cada modelo de watchlist integrado tem um conjunto próprio de dados listado no arquivo CSV anexado ao modelo. Para obter mais informações, confira Esquemas de watchlist integrados.

Para baixar um dos modelos de watchlist:

  1. No portal do Defender, vá para Microsoft Sentinel>Configuração>Lista de Vigilância.

  2. Selecione a guia Modelos (versão prévia).

  3. Selecione um modelo na lista para exibir detalhes do modelo no painel direito.

  4. Escolha as reticências ... no final da linha.

  5. Selecione o Esquema de Download.

    Captura de tela da guia modelos com o esquema de download selecionado.

  6. Preencha a versão local do arquivo e salve-a localmente como um arquivo CSV.

  7. Siga as etapas para carregar uma watchlist criada de um modelo (versão prévia).

Watchlists excluídas e recriadas na exibição do Log Analytics

Se você excluir e recriar uma watchlist, poderá ver as entradas excluídas e recriadas simultaneamente no Log Analytics durante o SLA de cinco minutos para ingestão de dados. Se você vir essas entradas juntas no Log Analytics por um período de tempo mais longo, envie um tíquete de suporte.

Conteúdo relacionado

Para saber mais sobre o Microsoft Sentinel, confira os seguintes artigos:

  • Last updated on