Partilhar via

Criar listas de observação no Microsoft Sentinel

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

As listas de observação no Microsoft Sentinel ajudam-no a correlacionar dados de uma fonte de dados que fornece com os eventos no seu ambiente Microsoft Sentinel. Por exemplo, você pode criar uma lista de observação com uma lista de ativos de alto valor, funcionários demitidos ou contas de serviço em seu ambiente.

Pode criar uma lista de observação utilizando qualquer um dos seguintes métodos:

Atualmente, pode carregar ficheiros locais até 3,8 MB. Um ficheiro com mais de 3,8 MB e até 500 MB é considerado uma lista de observação grande. Para carregar uma lista de observação grande, faça upload do ficheiro para uma conta Azure Storage. Antes de criar uma lista de observação, revise as limitações das listas de observação.

Os dados na tabela Log Analytics Watchlist são retidos por 28 dias.

Importante

As funcionalidades para modelos de lista de observação, a capacidade de criar uma lista de observação a partir de um ficheiro no Azure Storage e a possibilidade de criar manualmente uma lista de observação estão atualmente em PRÉ-visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão o Microsoft Sentinel somente no portal do Defender. A partir de julho de 2025, muitos novos usuários também são automaticamente integrados e redirecionados do portal do Azure para o portal do Defender. Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que comece a planejar sua transição para o portal do Defender para garantir uma transição suave e aproveitar ao máximo a experiência unificada de operações de segurança oferecida pelo Microsoft Defender. Para obter mais informações, consulte É hora de mover: desativando o portal do Azure do Microsoft Sentinel para maior segurança.

Carregar uma lista de observação a partir de uma pasta local

Você tem duas maneiras de carregar um arquivo CSV de sua máquina local para criar uma lista de observação.

Carregue uma lista de visualização a partir de um ficheiro que criou

Se não usou um modelo de lista de observação para criar o seu ficheiro:

  1. No portal Defender, vá a Microsoft Sentinel>Configuração>Lista de Vigilância.

  2. Selecionar + Novo para abrir o assistente da Lista de Observação.

    Captura de tela da opção adicionar lista de observação na página da lista de observação.

  3. Na página Geral , introduza o nome, descrição e pseudónimo da lista de observação e depois selecione Próximo: Fonte.

    Captura de ecrã do separador geral da lista de observação no assistente de listas de observação.

  4. Na página Fonte, use a informação na tabela seguinte para importar os dados da sua lista de observação e depois selecione Avançar: Rever e criar.

    Campo Descrição
    Tipo de fonte Arquivo local
    Tipo de ficheiro Arquivo CSV com cabeçalho (.csv)
    Número de linhas antes da linha com títulos Insira o número de linhas antes da linha de cabeçalho que está no arquivo de dados.
    Carregar ficheiro Arraste e solte seu arquivo de dados ou selecione Procurar arquivos e selecione o arquivo a ser carregado.
    Chave de pesquisa Introduza o nome de uma coluna na sua lista de observação que espera utilizar como uma junção com outros dados ou um objeto frequente de pesquisas. Por exemplo, se a lista de observação do servidor contiver nomes de países/regiões e seus respetivos códigos de país de duas letras e você espera usar os códigos de país com frequência para pesquisa ou junções, use a coluna Código como SearchKey.

    Nota

    Se o seu ficheiro CSV for superior a 3,8 MB, precisa de usar as instruções para Criar uma lista de observação grande a partir do ficheiro no Azure Storage.

    Captura de ecrã que mostra o separador de origem da lista de observação.

  5. Revê a informação, verifica se está correta e depois seleciona Criar.

    Captura de ecrã da página de revisão da lista de observação.

    Uma notificação é exibida assim que a lista de observação é criada.

Pode levar vários minutos para que a lista de observação seja criada e os novos dados estejam disponíveis em consultas.

Carregar uma lista de visualização criada a partir de um modelo (pré-visualização)

Para criar uma lista de observação a partir de um modelo que tenha preenchido:

  1. No portal do Defender, vá a Microsoft Sentinel>Configuração>Lista de Vigilância.

  2. Selecione a guia Modelos (Pré-visualização).

  3. Selecione o modelo apropriado na lista para exibir os detalhes do modelo no painel direito.

  4. Selecione Criar a partir do modelo para abrir o assistente da Lista de Observação.

    Captura de ecrã da opção para criar uma lista de observação a partir de um modelo incorporado.

  5. Na página Geral , repare que os campos Nome, Descrição e Alias são todos de apenas leitura. Selecione Next: Source.

  6. Na página de Fonte, selecione Procurar ficheiros e depois selecione o ficheiro que criou a partir do modelo.

  7. Selecione Seguinte: Rever + criar e, em seguida, selecione Criar. Uma notificação é exibida assim que a lista de observação é criada.

Pode levar vários minutos para que a lista de observação seja criada e os novos dados estejam disponíveis em consultas.

Criar uma grande lista de observação a partir do ficheiro no Armazenamento do Azure (pré-visualização)

Se você tiver uma grande lista de observação de até 500 MB de tamanho, carregue seu arquivo de lista de observação em sua conta de Armazenamento do Azure. Em seguida, crie uma URL de assinatura de acesso compartilhado para o Microsoft Sentinel para recuperar os dados da lista de observação. Uma URL de assinatura de acesso partilhada é um URI que contém tanto o URI de recurso como o token de assinatura de acesso partilhado de um recurso, como um ficheiro CSV na sua conta de armazenamento. Por fim, adicione a lista de observação ao seu espaço de trabalho no Microsoft Sentinel.

Para obter mais informações sobre assinaturas de acesso compartilhado, consulte Token de assinatura de acesso compartilhado do Armazenamento do Azure.

Etapa 1: Carregar um arquivo de lista de observação no Armazenamento do Azure

Para carregar um arquivo de lista de observação grande para sua conta de Armazenamento do Azure, use o AzCopy ou o portal do Azure.

  1. Se ainda não tiver uma conta de Armazenamento do Azure, crie uma conta de armazenamento. A conta de armazenamento pode estar em um grupo de recursos ou região diferente do seu espaço de trabalho no Microsoft Sentinel.
  2. Usa o AzCopy ou o portal Azure para carregar o teu ficheiro CSV com os dados da tua lista de observação para a conta de armazenamento.

Carregue o seu ficheiro com o AzCopy

Carregue arquivos e diretórios para o armazenamento de Blob usando o utilitário de linha de comando AzCopy v10. Para saber mais, consulte Carregar arquivos para o armazenamento de Blob do Azure usando o AzCopy.

  1. Se você ainda não tiver um contêiner de armazenamento, crie um executando o seguinte comando.

    azcopy make 
https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>

  2. Em seguida, execute o seguinte comando para carregar o arquivo.

    azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'

Carregue seu arquivo no portal do Azure

Se você não usa o AzCopy, carregue seu arquivo usando o portal do Azure. Vai à tua conta de armazenamento no portal Azure para carregar o ficheiro CSV com os dados da tua lista de observação.

  1. Se você ainda não tiver um contêiner de armazenamento existente, crie um contêiner. Para o nível de acesso público ao contentor, use o padrão definido como Privado (sem acesso anónimo).
  2. Carrega um blob de blocos para carregar o teu ficheiro CSV na conta de armazenagem.

Etapa 2: Criar URL de assinatura de acesso compartilhado

Crie uma URL de assinatura de acesso compartilhado para o Microsoft Sentinel para recuperar os dados da lista de observação.

  1. Siga as etapas em Criar tokens SAS para blobs no portal do Azure.
  2. Defina o tempo de expiração do token de assinatura de acesso partilhado para pelo menos seis horas.
  3. Mantenha o valor padrão para Endereços IP permitidos em branco.
  4. Copie o valor da URL SAS de Blob.

Etapa 3: Adicionar o Azure à guia CORS

Antes de usar um URI SAS, adicione o portal do Azure ao CORS (Cross Origin Resource Sharing).

  1. Vá para as configurações da conta de armazenamento, página Compartilhamento de recursos .
  2. Selecione a guia Serviço de Blob .
  3. Adicione https://*.portal.azure.net à tabela de origens permitidas.
  4. Selecione os métodos Permitidos apropriados de GET e OPTIONS.
  5. Guardar a configuração.

Para obter mais informações, consulte Suporte CORS para o Armazenamento do Azure.

Etapa 4: Adicionar a lista de observação a um espaço de trabalho

  1. No portal Defender, vá a Microsoft Sentinel>Configuração>Lista de Vigilância.

  2. Selecionar + Novo para abrir o assistente da Lista de Observação.

  3. Na página Geral , introduza o nome, descrição e pseudónimo da lista de observação e depois selecione Próximo: Fonte.

  4. Na página Fonte, use a informação na tabela seguinte para carregar os dados da sua lista de observação e depois selecione Próximo: Rever e criar.

    Campo Descrição
    Tipo de fonte Azure Storage (Pré-visualização)
    Selecione um tipo para o conjunto de dados Arquivo CSV com cabeçalho (.csv)
    Número de linhas antes da linha com títulos Insira o número de linhas antes da linha de cabeçalho que está no arquivo de dados.
    URL SAS do Blob (Pré-visualização) Cola o URL de acesso partilhado que criou.
    Chave de pesquisa Introduza o nome de uma coluna na sua lista de observação que espera utilizar como uma junção com outros dados ou um objeto frequente de pesquisas. Por exemplo, se a lista de observação do servidor contiver nomes de países/regiões e seus respetivos códigos de país de duas letras e você espera usar os códigos de país com frequência para pesquisa ou junções, use a coluna Código como SearchKey.

  5. Revê a informação, verifica se está correta e depois seleciona Criar. Uma notificação é exibida assim que a lista de observação é criada.

Pode demorar algum tempo até ser criada uma grande lista de observação e até que os novos dados estejam disponíveis nas consultas.

Crie uma lista de observação manualmente (pré-visualização)

Para criar uma lista de observação do zero:

  1. No portal Defender, vá para Microsoft Sentinel>Configuração>Lista de Vigilância.

  2. Selecionar + Novo para abrir o assistente da Lista de Observação.

  3. Na página Geral , introduza o nome, descrição e pseudónimo da lista de observação e depois selecione Próximo: Fonte.

  4. Na página de Fonte , escolha Manual (Pré-visualização) como tipo de Fonte.

  5. Adicione e defina os nomes das colunas para a sua lista de observação. Escolha a coluna que serve como Chave de Pesquisa. Esta chave é a coluna da sua lista de observação que espera usar como junção a outros dados ou como objeto frequente de pesquisas.

    Captura de ecrã da opção para criar manualmente uma lista de observação.

  6. Selecione Seguinte: Revisar + criar.

  7. Revê a informação, verifica se está correta e depois seleciona Criar. Uma notificação é exibida assim que a lista de observação é criada.

Pode levar vários minutos para que a lista de observação seja criada e os novos dados estejam disponíveis em consultas.

Nota

As listas de observação que crias manualmente contêm automaticamente uma única entrada que usa valores por defeito. Pode atualizar esta entrada conforme necessário. Para mais informações, consulte Gerir listas de vigilância.

Ver estado da lista de observação

Para ver o estado de uma lista de observação no seu espaço de trabalho:

  1. No portal Defender, vá para Microsoft Sentinel>Configuração>Lista de Vigilância.

  2. Na guia Minhas Listas de Observação , selecione a lista de observação.

  3. Na página de detalhes, revise o Estado (Visualização).

    Captura de ecrã que mostra o estado na lista de observação.

  4. Quando o estado for Bem-sucedido, selecione Visualizar nos registos para usar a lista de observação numa consulta. Pode levar vários minutos para que a lista de observação seja exibida no Log Analytics.

    Captura de ecrã da página da lista de observação com o botão Ver nos registos destacado.

Baixar modelo de lista de observação (visualização)

Baixe um dos modelos da lista de observação do Microsoft Sentinel para preencher com seus dados. Em seguida, carregue esse arquivo ao criar a lista de observação no Microsoft Sentinel.

Cada modelo de lista de observação integrado tem seu próprio conjunto de dados listados no arquivo CSV anexado ao modelo. Para obter mais informações, consulte Esquemas de lista de observação incorporados.

Para descarregar um dos modelos da lista de observação:

  1. No portal Defender, vá a Microsoft Sentinel>Configuração>Lista de Vigilância.

  2. Selecione a guia Modelos (Pré-visualização).

  3. Selecione um modelo na lista para exibir os detalhes do modelo no painel direito.

  4. Selecione as reticências ... no final da linha.

  5. Selecione Baixar esquema.

    Captura de ecrã do separador modelos com o esquema de download selecionado.

  6. Preencha sua versão local do arquivo e salve-o localmente como um arquivo CSV.

  7. Siga os passos para carregar a lista de observação criada a partir de um modelo (Pré-visualização).

Listas de observação excluídas e recriadas no modo de exibição do Log Analytics

Se você excluir e recriar uma lista de observação, poderá ver as entradas excluídas e recriadas no Log Analytics dentro do SLA de cinco minutos para ingestão de dados. Se você vir essas entradas juntas no Log Analytics por um longo período de tempo, envie um tíquete de suporte.

Conteúdos relacionados

Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:

  • Last updated on