共用方式為

在 Microsoft Sentinel 中建立關注清單

  • 適用於: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Microsoft Sentinel 中的監控清單能幫助你將來自資料來源的資料與 Microsoft Sentinel 環境中的事件做關聯。 例如,您可能會建立環境中具有高價值資產、已終止員工或服務帳戶清單的關注清單。

你可以使用以下任一方法建立監視清單:

你目前可以上傳最大 3.8 MB 的本地檔案。 超過 3.8 MB 甚至最多 500 MB 的檔案被視為大型監控清單。 要上傳大型監視清單,請將檔案上傳到 Azure Storage 帳號。 建立監看清單之前,請先檢閱 關注清單的限制

Log Analytics 監看列表數據表中的數據會保留 28 天。

重要事項

觀看清單範本的功能、從 Azure 儲存中檔案建立觀看清單的功能,以及手動建立觀看清單的功能目前都在 預覽中。 Azure 預覽補充條款包含適用於 Beta 版、預覽版或尚未發行至正式運作的 Azure 功能的其他法律條款。

2026 年 7 月開始,所有在 Azure 入口網站中使用 Microsoft Sentinel 的客戶都會重新導向至 Defender 入口網站,且只會在 Defender 入口網站中使用 Microsoft Sentinel。 從 2025 年 7 月開始,許多新使用者也會從 Azure 入口網站自動 上線並重新導向至 Defender 入口網站。 如果您仍在 Azure 入口網站中使用 Microsoft Sentinel,建議您開始規劃 轉換至 Defender 入口網站 ,以確保順利轉換,並充分利用 Microsoft Defender 所提供的統一安全性作業體驗。 如需詳細資訊,請參閱 移轉時間:Microsoft 淘汰 Sentinel 的 Azure 入口網站,以取得更高的安全性

從本地資料夾上傳關注清單

您有兩種方式可從本地電腦上傳 CSV 檔案,以建立關注清單。

  • 對於你建立的沒有監控清單範本的 監視清單檔案 :選擇 新增 並輸入所需資訊。
  • 若要使用從 Microsoft Sentinel 下載的 範本建立的監視清單檔案 :請前往觀看清單 範本(預覽) 標籤。選擇 「從範本建立」選項。 Azure 會為您預先填入名稱、描述和關注清單別名。

從你建立的檔案上傳一個監視清單

如果你沒有使用監視清單範本來建立檔案:

  1. Defender 入口網站,前往 Microsoft Sentinel>配置>監控清單

  2. 選擇 + 新檔 以開啟 觀看清單精靈

    在關注清單頁面上新增關注清單選項的螢幕快照。

  3. 一般 頁面輸入觀看清單的名稱、描述和別名,然後選擇 「下一頁:來源」。

    關注清單精靈中關注清單一般索引標籤的螢幕擷取畫面。

  4. 來源 頁面,請使用下表中的資訊上傳您的觀察清單資料,然後選擇 「下一頁:評論+建立」。

    欄位 描述
    來源類型 本機檔案
    檔案類型 具有標題的 CSV 檔案 (.csv)
    有標題的列之前的行數 輸入資料檔中標頭列之前的行數。
    上傳檔案 拖放資料檔案,或選取 [瀏覽檔案],然後選取要上傳的檔案。
    SearchKey 輸入您預期作為與其他資料聯結或常用搜尋物件的關注清單中資料行的名稱。 例如,如果您的伺服器監看清單包含國家/地區名稱及其各自的兩個字母國家/地區代碼,而且您預期經常使用國家/地區代碼進行搜尋或聯結,請使用 Code 數據行作為 SearchKey。

    附註

    如果你的 CSV 檔案超過 3.8 MB,你需要參照 在 Azure 儲存體中從檔案建立大型監控清單的說明。

    顯示關注清單來源索引標籤的螢幕快照。

  5. 檢查資訊,確認正確,然後選擇 建立

    關注清單檢閱頁面的螢幕快照。

    關注清單建立之後,就會顯示通知。

建立關注清單以及查詢中可用的新資料可能需要幾分鐘的時間。

上傳從範本建立的觀看清單(預覽)

要從你填入的範本建立監視清單:

  1. Defender 入口網站,前往 Microsoft Sentinel>配置>監控清單

  2. 選取索引標籤 [範本 (預覽)]

  3. 從清單中選取適當的範本,以在右窗格中檢視範本的詳細資料。

  4. 選擇 「從範本建立 」以開啟 監視清單精靈

    從內建範本建立監看清單的選項螢幕快照。

  5. 一般 頁面,請注意 名稱描述別名 欄位皆為唯讀。 選取 [下一步:來源]

  6. 原始碼 頁面,選擇瀏覽 檔案,然後從範本中選擇你建立的檔案。

  7. 選取 [下一步:檢閱 + 建立],然後選取 [建立]。 關注清單建立之後,就會顯示通知。

建立關注清單以及查詢中可用的新資料可能需要幾分鐘的時間。

從 Azure 儲存體的檔案中建立大型關注清單 (預覽)

如果您有大小上限為 500 MB 的大型關注清單,請將關注清單檔案上傳至 Azure 儲存體帳戶。 然後建立 Microsoft Sentinel 的共用存取簽章 URL 以擷取關注清單資料。 共享存取簽章 URL 是一種 URI,包含資源 URI 及其共享存取簽章令牌,例如儲存帳戶中的 CSV 檔案。 最後,將關注清單新增至 Microsoft Sentinel 中的工作區。

如需共用存取簽章的詳細資訊,請參閱 Azure 記憶體共用存取簽章令牌

步驟 1:將關注清單檔案上傳至 Azure 儲存體

若要將大型關注清單檔案上傳至 Azure 儲存體帳戶,請使用 AzCopy 或 Azure 入口網站。

  1. 如果您還沒有 Azure 記憶體帳戶, 請建立記憶體帳戶。 儲存體帳戶可以位於與 Microsoft Sentinel 中工作區的不同資源群組或區域中。
  2. 你可以使用 AzCopy 或 Azure 入口網站,將包含監視清單資料的 CSV 檔案上傳到儲存帳號。

使用 AzCopy 上傳檔案

使用 AzCopy v10 命令列公用程式,將檔案和目錄上傳到 Blob 儲存體。 若要深入瞭解,請參閱 使用 AzCopy 將檔案上傳至 Azure Blob 記憶體

  1. 如果您還沒有儲存體容器,請執行下列命令來進行建立。

    azcopy make 
https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>

  2. 接下來,執行下列命令以上傳檔案。

    azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'

在 Azure 入口網站中上傳檔案

如果您沒有使用 AzCopy,請使用 Azure 入口網站上傳檔案。 請前往 Azure 入口網站的儲存帳號,上傳包含你觀察清單資料的 CSV 檔案。

  1. 如果您還沒有現有的記憶體容器, 請建立容器。 關於容器的公開存取權限,請使用預設設定為私密(無匿名存取)。
  2. 上傳一個區塊 blob ,將您的 CSV 檔案上傳到儲存體帳戶。

步驟 2:建立共用存取簽章 URL

建立 Microsoft Sentinel 的共用存取簽章 URL 以擷取關注清單資料。

  1. 請在 Azure 入口網站中遵循建立 Blob 的 SAS 令牌的步驟。
  2. 將共享存取簽名令牌的有效期限設為至少六小時。
  3. [允許的IP 位址 ] 的預設值保留為空白。
  4. 複製 Blob SAS URL 的值。

步驟 3:將 Azure 新增至 CORS 索引標籤

使用 SAS URI 之前,請先將 Azure 入口網站新增至跨原點資源分享 (CORS)。

  1. 移至儲存體帳戶設定,[資源分享]頁面。
  2. 選取 [Blob 服務] 索引標籤。
  3. https://*.portal.azure.net 新增至允許的來源資料表。
  4. 選取 GET 的適當 [允許方法]OPTIONS
  5. 儲存組態。

如需詳細資訊,請參閱 Azure 記憶體的 CORS 支援

步驟 4:將關注清單新增至工作區

  1. Defender 入口網站,前往 Microsoft Sentinel>配置>監控清單

  2. 選擇 + 新檔 以開啟 觀看清單精靈

  3. 一般 頁面輸入觀看清單的名稱、描述和別名,然後選擇 「下一頁:來源」。

  4. 來源 頁面,請使用下表中的資訊上傳您的觀察清單資料,然後選擇 「下一頁:評論+建立」。

    欄位 描述
    來源類型 Azure Storage (預覽版)
    為資料集選取類型 具有標題的 CSV 檔案 (.csv)
    有標題的列之前的行數 輸入資料檔中標頭列之前的行數。
    Blob SAS URL (預覽) 貼上你建立的共享存取網址。
    SearchKey 輸入您預期作為與其他資料聯結或常用搜尋物件的關注清單中資料行的名稱。 例如,如果您的伺服器監看清單包含國家/地區名稱及其各自的兩個字母國家/地區代碼,而且您預期經常使用國家/地區代碼進行搜尋或聯結,請使用 Code 數據行作為 SearchKey。

  5. 檢查資訊,確認正確,然後選擇 建立。 關注清單建立之後,就會顯示通知。

建立大型監控清單並查詢新資料可能需要一段時間。

手動建立觀察清單(預覽)

要從零開始建立監視清單:

  1. Defender 入口網站,前往 Microsoft Sentinel>配置>監控清單

  2. 選擇 + 新檔 以開啟 觀看清單精靈

  3. 一般 頁面輸入觀看清單的名稱、描述和別名,然後選擇 「下一頁:來源」。

  4. 來源 頁面,選擇「 手寫(預覽) 」作為 來源類型

  5. 新增並定義你的觀察清單欄位名稱。 選擇作為 搜尋鍵的欄位。 這個鍵就是您希望用來與其他資料或頻繁搜尋物件連接的關注清單資料行。

    手動建立監視清單的選項截圖。

  6. 選取 下一步:檢閱 + 建立

  7. 檢查資訊,確認正確,然後選擇 建立。 關注清單建立之後,就會顯示通知。

建立關注清單以及查詢中可用的新資料可能需要幾分鐘的時間。

附註

你手動建立的監視清單會自動包含一個使用預設值的條目。 您可以視需要更新此條目。 欲了解更多資訊,請參閱 管理監控清單

檢視關注清單狀態

要查看工作區中監控清單的狀態:

  1. Defender 入口網站,前往 Microsoft Sentinel>配置>監控清單

  2. 在 [我的關注清單] 索引標籤上,選取關注清單。

  3. 在詳細資料頁面上,檢閱 [狀態 (預覽)]

    顯示監控清單狀態的截圖。

  4. 當狀態為 成功時,選擇 「在日誌中檢視 」以在查詢中使用監視清單。 在 Log Analytics 中顯示關注清單可能需要幾分鐘的時間。

    追蹤清單頁面的截圖,其中「查看日誌」按鈕已被突出顯示。

下載關注清單範本 (預覽)

從 Microsoft Sentinel 下載其中一個關注清單範本,以填入您的資料。 然後在 Microsoft Sentinel 中建立關注清單時上傳該檔案。

每個內建關注清單範本都有自己的資料集,那些資料是列在附加至範本的 CSV 檔案中。 如需詳細資訊,請參閱 內建關注清單架構

要下載其中一個觀察清單範本:

  1. Defender 入口網站,前往 Microsoft Sentinel>配置>監控清單

  2. 選取索引標籤 [範本 (預覽)]

  3. 從清單中選取範本,以在右窗格中檢視範本的詳細資料。

  4. 選取資料列結尾的省略符號 ...

  5. 選取 [下載結構描述]

    範本索引標籤的螢幕擷取畫面,已選取下載結構描述。

  6. 填入本地版本的檔案,並將其在本地儲存為 CSV 檔案。

  7. 請遵循步驟來上傳從範本建立的監看清單(預覽)。

Log Analytics 檢視中已刪除和重新建立的關注清單

如果您刪除並重新建立關注清單,您可能會在五分鐘的資料擷取 SLA 內看到 Log Analytics 中已刪除和重新建立的項目。 如果您在 Log Analytics 中長時間看到這些項目,請提交支援票證。

相關內容

若要深入了解 Microsoft Sentinel,請參閱下列文章:

  • Last updated on