Katseluluettelojen luominen Microsoft Sentinel

  • Koskee seuraavia:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Microsoft Sentinel katseluluetteloiden avulla voit korreloida tietoja tietolähteestä, jonka tarjoat Microsoft Sentinel ympäristössäsi olevien tapahtumien kanssa. Voit esimerkiksi luoda katseluluettelon, joka sisältää luettelon ympäristössäsi olevista arvokkaista resursseista, irtisanouista työntekijöistä tai palvelutileistä.

Voit luoda katseluluettelon jollakin seuraavista menetelmistä:

Voit ladata enintään 3,8 Mt paikallisia tiedostoja. Tiedostoa, jonka koko on yli 3,8 Mt ja enintään 500 Mt, pidetään suurena katselulistana. Lataa suuri katseluluettelo lataamalla tiedosto Azure tallennustilille. Ennen kuin luot katseluluettelon, tutustu katseluluetteloiden rajoituksiin.

Log Analytics Watchlist -taulukon tietoja säilytetään 28 päivää.

Tärkeää

Katseluluettelomallien ominaisuudet, katseluluettelon luominen Azure tallennustilan tiedostosta ja mahdollisuus luoda katseluluettelo manuaalisesti ovat tällä hetkellä ESIKATSELU-tilassa. Azure Esikatselun lisäehdot sisältävät muita oikeudellisia ehtoja, jotka koskevat Azure ominaisuuksia, jotka ovat beetaversiossa, esikatselussa tai muussa tapauksessa julkaisematta.

31.3.2027 jälkeen Microsoft Sentinel ei enää tueta Azure-portaali ja se on käytettävissä vain Microsoft Defender-portaalissa. Kaikki asiakkaat, jotka käyttävät Microsoft Sentinel Azure-portaali, ohjataan Defender-portaaliin ja he käyttävät Microsoft Sentinel vain Defender-portaalissa. Heinäkuusta 2025 alkaen monet uudet asiakkaat lisätään automaattisesti ja ohjataan Defender-portaaliin.

Jos käytät edelleen Microsoft Sentinel Azure-portaali, suosittelemme, että aloitat Defender-portaaliin siirtymisen suunnittelun, jotta siirtyminen olisi sujuvaa ja jotta voit hyödyntää täysin Microsoft Defender tarjoamaa yhtenäistä suojaustoimintokokemusta. Lisätietoja on kohdassa Siirron aika: Microsoft Sentinel käytöstä poistamisen Azure-portaali suojauksen lisäämiseksi.

Lataa katseluluettelo paikallisesta kansiosta

Voit luoda katseluluettelon lataamalla CSV-tiedoston paikallisesta tietokoneesta kahdella tavalla.

Lataa katseluluettelo luomastasi tiedostosta

Jos et käyttänyt katseluluettelomallia tiedoston luomiseen:

  1. Siirry Defender-portaalissa kohtaan Microsoft Sentinel>Määritä seurantaluettelo>.

  2. Avaa ohjattu katseluluettelon luominen valitsemalla + Uusi.

    Näyttökuva Microsoft Sentinel Katseluluettelo-sivusta, jossa Uusi-painike on korostettuna.

  3. Kirjoita Yleiset-sivulle katseluluettelon nimi, kuvaus ja tunnus ja valitse sitten Seuraava: Lähde.

    Näyttökuva katseluluettelon yleisestä välilehdestä ohjatussa katseluluettelossa.

  4. Lataa katseluluettelosi tiedot Lähde-sivulla seuraavan taulukon tiedoilla ja valitse sitten Seuraava: Tarkista + luo.

    Kenttä Kuvaus
    Lähdetyyppi Paikallinen tiedosto
    Tiedostotyyppi CSV-tiedosto, jossa on otsikko (.csv)
    Otsikoita sisältävien rivien määrä ennen riviä Kirjoita datatiedostossa olevan otsikkorivin edessä olevien rivien määrä.
    Lataa tiedosto palvelimeen Vedä ja pudota datatiedosto tai valitse Selaa tiedostoja ja valitse ladattava tiedosto.
    Hakuavain Kirjoita sen katseluluettelossa olevan sarakkeen nimi, jota aiot käyttää liitoksena muiden tietojen kanssa, tai usein käytetyn hakuobjektin. Jos palvelimen katseluluettelo sisältää esimerkiksi maan/alueen nimet ja niiden kaksikirjaimiset maakoodit ja odotat käyttävänsä maakoodeja usein hauissa tai liitoksissa, käytä SearchKey-tunnuksena Koodi-saraketta .

    Huomautus

    Jos CSV-tiedostosi on suurempi kuin 3,8 Mt, sinun on käytettävä ohjeita suuren katseluluettelon luomiseksi tiedostosta Azure Tallennustilassa.

    Näyttökuva, jossa näkyy katseluluettelon lähdevälilehti.

  5. Tarkista tiedot, varmista, että ne ovat oikein, ja valitse sitten Luo.

    Näyttökuva katseluluettelon tarkistussivusta.

    Näet ilmoituksen, kun katseluluettelo on luotu.

Saattaa kestää useita minuutteja, ennen kuin katseluluettelo luodaan ja uudet tiedot ovat käytettävissä kyselyissä.

Mallista luodun katseluluettelon lataaminen palvelimeen (esikatselu)

Voit luoda katseluluettelon täyttämästäsi mallista seuraavasti:

  1. Siirry Defender-portaalissa kohtaan Microsoft Sentinel>Määritä seurantaluettelo>.

  2. Valitse välilehti Mallit (esikatselu).

  3. Valitse sopiva malli luettelosta, jotta näet mallin tiedot oikeanpuoleisessa ruudussa.

  4. Avaa ohjattu katseluluettelon luominen valitsemalla Luo mallista.

    Näyttökuva toiminnosta, jolla luodaan katseluluettelo valmiista mallista.

  5. Huomaa Yleiset-sivulla , että Nimi-, Kuvaus- ja Alias-kentät ovat kaikki vain luku -kenttiä. Valitse Seuraava: Lähde.

  6. Valitse Lähde-sivullaSelaa tiedostoja ja valitse sitten mallista luomasi tiedosto.

  7. Valitse Seuraava: Tarkista + luo ja valitse sitten Luo. Näet ilmoituksen, kun katseluluettelo on luotu.

Saattaa kestää useita minuutteja, ennen kuin katseluluettelo luodaan ja uudet tiedot ovat käytettävissä kyselyissä.

Suuren katseluluettelon luominen tiedostosta Azure tallennustilassa (esikatselu)

Jos sinulla on suuri katseluluettelo, jonka koko on enintään 500 Mt, lataa katseluluettelotiedosto Azure tallennustiliisi. Luo sitten jaetun käyttöoikeuden allekirjoituksen URL-osoite Microsoft Sentinel, jotta voit noutaa katseluluettelon tiedot. Jaetun käytön allekirjoituksen URL-osoite on URI-tunnus, joka sisältää sekä resurssin URI-tunnuksen että resurssin jaetun käyttöoikeuden allekirjoitustunnuksen, kuten CSV-tiedoston tallennustililläsi. Lisää lopuksi katseluluettelo työtilaasi Microsoft Sentinel.

Lisätietoja jaettujen käyttöoikeuksien allekirjoituksista on kohdassa Azure Tallennustilan jaetun käyttöoikeuden allekirjoitustunnus.

Vaihe 1: Lataa katseluluettelotiedosto Azure säilöön

Jos haluat ladata suuren katseluluettelotiedoston Azure tallennustilillesi, käytä AzCopy- tai Azure-portaali.

  1. Jos sinulla ei vielä ole Azure-tallennustiliä, luo tallennustili. Tallennustili voi olla eri resurssiryhmässä tai eri alueella kuin työtilasi Microsoft Sentinel.
  2. Käytä joko AzCopy- tai Azure-portaali -tiedoston lataamiseen katseluluettelon tietojen kanssa tallennustilille.

Lataa tiedosto AzCopyn avulla

Lataa tiedostot ja hakemistot Blob-säilöön komentoriviapuohjelmalla AzCopy v10. Lisätietoja on artikkelissa Tiedostojen lataaminen Azure Blob-säilöön AzCopyn avulla.

  1. Jos sinulla ei vielä ole tallennussäilöä, luo sellainen suorittamalla seuraava komento.

    azcopy make 
https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>

  2. Lataa tiedosto sitten suorittamalla seuraava komento.

    azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'

Lataa tiedosto Azure-portaali

Jos et käytä AzCopy-sovellusta, lataa tiedosto käyttämällä Azure-portaali. Siirry tallennustiliisi Azure-portaali ladataksesi katseluluettelon tiedot sisältävän CSV-tiedoston.

  1. Jos sinulla ei vielä ole aiemmin luotua säilöä, luo säilö. Käytä säilön julkisen käyttöoikeuden tasolla oletusarvoa, joka on Yksityinen (ei anonyymiä käyttöä).
  2. Lataa blob-lohko , jos haluat ladata CSV-tiedoston tallennustilille.

Vaihe 2: Luo jaetun käytön allekirjoituksen URL-osoite

Luo Microsoft Sentinel jaetun käyttöoikeuden allekirjoituksen URL-osoite katseluluettelon tietojen noutamista varten.

Huomautus

Vain julkista Blob SAS URI -tunnusta tuetaan.

  1. Noudata ohjeita artikkelissa SAS-tunnusten luominen blob-objekteja varten Azure-portaali.
  2. Määritä jaetun käyttöoikeuden allekirjoitustunnuksen vanhentumisaika vähintään kuuteen tuntiin.
  3. Säilytä sallittujen IP-osoitteiden oletusarvo tyhjänä.
  4. Kopioi Blob SAS URL -osoitteen arvo.

Vaihe 3: lisää Azure CORS-välilehteen

Ennen kuin käytät SAS URI:ta, lisää Azure-portaali Cross Origin Resource Sharing (CORS) -määritykseen.

  1. Siirry tallennustilin asetuksiin, Resurssien jakaminen -sivulle.
  2. Valitse Blob-palvelun välilehti.
  3. Lisää https://*.portal.azure.net sallittujen alkuperän taulukkoon.
  4. Valitse asianmukaiset Sallitut menetelmät ille GET ja OPTIONS.
  5. Tallenna määritys.

Lisätietoja on kohdassa CORS-tuki Azure Tallennustilalle.

Vaihe 4: Katseluluettelon lisääminen työtilaan

  1. Siirry Defender-portaalissa kohtaan Microsoft Sentinel>Määritä seurantaluettelo>.

  2. Avaa ohjattu katseluluettelon luominen valitsemalla + Uusi.

  3. Kirjoita Yleiset-sivulle katseluluettelon nimi, kuvaus ja tunnus ja valitse sitten Seuraava: Lähde.

  4. Lataa katseluluettelosi tiedot Lähde-sivulla seuraavan taulukon tiedoilla ja valitse sitten Seuraava: Tarkista + luo.

    Kenttä Kuvaus
    Lähdetyyppi Azure tallennustila (esikatselu)
    Valitse tietojoukon tyyppi CSV-tiedosto, jossa on otsikko (.csv)
    Otsikoita sisältävien rivien määrä ennen riviä Kirjoita datatiedostossa olevan otsikkorivin edessä olevien rivien määrä.
    Blob SAS URL (esikatselu) Liitä luomasi jaetun käytön URL-osoite.
    Hakuavain Kirjoita sen katseluluettelossa olevan sarakkeen nimi, jota aiot käyttää liitoksena muiden tietojen kanssa, tai usein käytetyn hakuobjektin. Jos palvelimen katseluluettelo sisältää esimerkiksi maan/alueen nimet ja niiden kaksikirjaimiset maakoodit ja odotat käyttävänsä maakoodeja usein hauissa tai liitoksissa, käytä SearchKey-tunnuksena Koodi-saraketta .

  5. Tarkista tiedot, varmista, että ne ovat oikein, ja valitse sitten Luo. Näet ilmoituksen, kun katseluluettelo on luotu.

Voi kestää jonkin aikaa, ennen kuin suuri katseluluettelo luodaan ja uudet tiedot ovat käytettävissä kyselyissä.

Katseluluettelon luominen manuaalisesti (esikatselu)

Voit luoda katseluluettelon alusta alkaen seuraavasti:

  1. Siirry Defender-portaalissa kohtaan Microsoft Sentinel>Määritä seurantaluettelo>.

  2. Avaa ohjattu katseluluettelon luominen valitsemalla + Uusi.

  3. Kirjoita Yleiset-sivulle katseluluettelon nimi, kuvaus ja tunnus ja valitse sitten Seuraava: Lähde.

  4. Valitse Lähde-sivullaLähde-tyypiksiManuaalinen (esikatselu).

  5. Lisää ja määritä katseluluettelon sarakkeiden nimet. Valitse sarake, joka toimii hakuavaimena. Tämä avain on katseluluettelon sarake, jota odotat käytettäväsi liitoksena muiden tietojen kanssa tai usein käytetyn hakuobjektin kanssa.

    Näyttökuva toiminnosta, jolla katseluluettelo luodaan manuaalisesti.

  6. Valitse Seuraava: Tarkista + luo.

  7. Tarkista tiedot, varmista, että ne ovat oikein, ja valitse sitten Luo. Näet ilmoituksen, kun katseluluettelo on luotu.

Saattaa kestää useita minuutteja, ennen kuin katseluluettelo luodaan ja uudet tiedot ovat käytettävissä kyselyissä.

Huomautus

Manuaalisesti luodut katseluluettelot sisältävät automaattisesti yhden merkinnän, joka käyttää oletusarvoja. Voit päivittää tämän merkinnän tarvittaessa. Lisätietoja on kohdassa Katseluluetteloiden hallinta.

Näytä katseluluettelon tila

Voit tarkastella katseluluettelon tilaa työtilassa seuraavasti:

  1. Siirry Defender-portaalissa kohtaan Microsoft Sentinel>Määritä seurantaluettelo>.

  2. Valitse Omat katseluluettelot -välilehdessä katseluluettelo.

  3. Tarkista tietosivulla Tila (esikatselu).

    Näyttökuva, joka näyttää katseluluettelon tilan.

  4. Kun tila on Onnistunut, valitse Näytä lokeissa , jotta voit käyttää kyselyn katseluluetteloa. Katseluluettelon näyttäminen Log Analyticsissa voi kestää useita minuutteja.

    Näyttökuva katseluluettelosivusta, jossa Näytä lokeissa -painike on korostettuna.

Lataa katseluluettelomalli (esikatselu)

Lataa jokin katseluluettelon malleista Microsoft Sentinel tietojen täyttämiseksi. Lataa sitten kyseinen tiedosto, kun luot katseluluettelon Microsoft Sentinel.

Jokaisella sisäisellä katseluluettelomallilla on oma tietojoukkonsa, joka on lueteltu malliin liitetyssä CSV-tiedostossa. Lisätietoja on kohdassa Sisäiset katseluluettelorakenteet.

Lataa jokin katseluluettelomalleista seuraavasti:

  1. Siirry Defender-portaalissa kohtaan Microsoft Sentinel>Määritä seurantaluettelo>.

  2. Valitse välilehti Mallit (esikatselu).

  3. Valitse malli luettelosta, jos haluat tarkastella mallin tietoja oikeanpuoleisessa ruudussa.

  4. Valitse kolme pistettä ... rivin lopusta.

  5. Valitse Lataa rakenne.

    Näyttökuva Katseluluettelon mallit -välilehdestä, jossa Lataa rakenne -vaihtoehto on valittuna pikavalikosta.

  6. Täytä tiedoston paikallinen versio ja tallenna se paikallisesti CSV-tiedostona.

  7. Lataa mallista luotu katseluluettelo (esikatselu) ohjeiden mukaisesti.

Poistettuja ja uudelleen luotuja katseluluetteloita Log Analytics -näkymässä

Jos poistat katseluluettelon ja luot sen uudelleen, saatat nähdä sekä poistetut että uudelleen luodut merkinnät Log Analyticsissa viiden minuutin tietojen käsittelytallennusta varten. Jos näet nämä merkinnät yhdessä Log Analyticsissa pidemmän aikaa, lähetä tukipyyntö.

Aiheeseen liittyvä sisältö

Lisätietoja katseluluetteloista ja Microsoft Sentinel on seuraavissa tiedoissa:

  • Last updated on