Créer des watchlists dans Microsoft Sentinel

  • S’applique à: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Les watchlists dans Microsoft Sentinel vous aident à mettre en corrélation les données d’une source de données que vous fournissez avec les événements de votre environnement Microsoft Sentinel. Par exemple, vous pouvez créer une watchlist avec une liste de ressources de grande valeur, d’employés licenciés ou de comptes de service dans votre environnement.

Vous pouvez créer une watchlist à l’aide de l’une des méthodes suivantes :

Vous pouvez charger des fichiers locaux jusqu’à 3,8 Mo. Un fichier de plus de 3,8 Mo et jusqu’à 500 Mo est considéré comme une grande watchlist. Pour charger une watchlist volumineuse, chargez le fichier dans un compte de stockage Azure. Avant de créer une watchlist, passez en revue les limitations des watchlists.

Les données de la table Watchlist Log Analytics sont conservées pendant 28 jours.

Importante

Les fonctionnalités des modèles watchlist, la possibilité de créer une watchlist à partir d’un fichier dans stockage Azure et la possibilité de créer une watchlist manuellement sont actuellement en PRÉVERSION. Les conditions supplémentaires de la préversion Azure incluent des conditions juridiques supplémentaires qui s’appliquent à Azure fonctionnalités qui sont en version bêta, en préversion ou qui ne sont pas encore publiées en disponibilité générale.

Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement. À compter de juillet 2025, de nombreux nouveaux clients sont automatiquement intégrés et redirigés vers le portail Defender.

Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender. Pour plus d’informations, consultez It’s Time to Move : Mise hors service Microsoft Sentinel’Portail Azure pour une sécurité accrue.

Charger une watchlist à partir d’un dossier local

Vous disposez de deux façons de charger un fichier CSV à partir de votre ordinateur local pour créer une watchlist.

  • Pour un fichier watchlist que vous avez créé sans modèle de watchlist : sélectionnez Ajouter nouveau et entrez les informations requises.
  • Pour un fichier watchlist créé à partir d’un modèle téléchargé à partir de Microsoft Sentinel : accédez à l’onglet Watchlist Templates (Preview). Sélectionnez l’option Créer à partir d’un modèle. Azure préremplit le nom, la description et l’alias watchlist pour vous.

Charger une watchlist à partir d’un fichier que vous avez créé

Si vous n’avez pas utilisé de modèle de watchlist pour créer votre fichier :

  1. Dans le portail Defender, accédez à Microsoft Sentinel>Configuration>Watchlist.

  2. Sélectionnez + Nouveau pour ouvrir l’Assistant Watchlist.

    Capture d’écran de la page Watchlist Microsoft Sentinel avec le bouton Nouveau mis en évidence.

  3. Dans la page Général , entrez le nom, la description et l’alias de la watchlist, puis sélectionnez Suivant : Source.

    Capture d’écran de l’onglet Watchlist General dans l’Assistant Watchlists.

  4. Dans la page Source , utilisez les informations du tableau suivant pour charger les données de votre watchlist, puis sélectionnez Suivant : Vérifier + créer.

    Field Description
    Type de source Fichier local
    Type de fichier Fichier CSV avec un en-tête (.csv)
    Nombre de lignes avant la ligne avec en-têtes Entrez le nombre de lignes avant la ligne d’en-tête qui se trouve dans votre fichier de données.
    Charger le fichier Glissez-déposez votre fichier de données, ou sélectionnez Rechercher des fichiers et sélectionnez le fichier à charger.
    SearchKey Entrez le nom d’une colonne dans votre watchlist que vous prévoyez d’utiliser comme jointure avec d’autres données ou un objet de recherche fréquent. Par exemple, si votre watchlist de serveur contient des noms de pays/régions et leurs codes de pays à deux lettres respectifs, et que vous prévoyez d’utiliser souvent les codes de pays pour la recherche ou les jointures, utilisez la colonne Code comme SearchKey.

    Remarque

    Si votre fichier CSV est supérieur à 3,8 Mo, vous devez suivre les instructions pour Créer une liste de surveillance volumineuse à partir d’un fichier dans Azure Stockage.

    Capture d’écran montrant l’onglet source watchlist.

  5. Passez en revue les informations, vérifiez qu’elles sont correctes, puis sélectionnez Créer.

    Capture d’écran de la page de révision watchlist.

    Une notification s’affiche une fois la watchlist créée.

La création de la watchlist et la disponibilité des nouvelles données dans les requêtes peut prendre plusieurs minutes.

Charger une watchlist créée à partir d’un modèle (préversion)

Pour créer une watchlist à partir d’un modèle que vous avez rempli :

  1. Dans le portail Defender, accédez à Microsoft Sentinel>Configuration>Watchlist.

  2. Sélectionnez l’onglet Modèles (préversion) .

  3. Sélectionnez le modèle approprié dans la liste pour afficher les détails du modèle dans le volet droit.

  4. Sélectionnez Créer à partir d’un modèle pour ouvrir l’Assistant Watchlist.

    Capture d’écran de l’option permettant de créer une watchlist à partir d’un modèle intégré.

  5. Dans la page Général , notez que les champs Nom, Description et Alias sont tous en lecture seule. Sélectionnez Suivant : Source.

  6. Dans la page Source , sélectionnez Rechercher les fichiers, puis sélectionnez le fichier que vous avez créé à partir du modèle.

  7. Sélectionnez Suivant : Vérifier + créer, puis créer. Une notification s’affiche une fois la watchlist créée.

La création de la watchlist et la disponibilité des nouvelles données dans les requêtes peut prendre plusieurs minutes.

Créer une liste de surveillance volumineuse à partir d’un fichier dans Azure Stockage (préversion)

Si vous disposez d’une grande watchlist jusqu’à 500 Mo, chargez votre fichier watchlist sur votre compte de stockage Azure. Créez ensuite une URL de signature d’accès partagé pour Microsoft Sentinel récupérer les données de watchlist. Une URL de signature d’accès partagé est un URI qui contient à la fois l’URI de ressource et le jeton de signature d’accès partagé d’une ressource comme un fichier CSV dans votre compte de stockage. Enfin, ajoutez la watchlist à votre espace de travail dans Microsoft Sentinel.

Pour plus d’informations sur les signatures d’accès partagé, consultez Azure Jeton de signature d’accès partagé de stockage.

Étape 1 : Charger un fichier watchlist dans stockage Azure

Pour charger un fichier watchlist volumineux dans votre compte de stockage Azure, utilisez AzCopy ou le Portail Azure.

  1. Si vous n’avez pas encore de compte de stockage Azure, créez un compte de stockage. Le compte de stockage peut se trouver dans un autre groupe de ressources ou une autre région que votre espace de travail dans Microsoft Sentinel.
  2. Utilisez AzCopy ou le Portail Azure pour charger votre fichier CSV avec les données de votre watchlist dans le compte de stockage.

Charger votre fichier avec AzCopy

Chargez des fichiers et des répertoires dans le stockage Blob à l’aide de l’utilitaire en ligne de commande AzCopy v10. Pour plus d’informations, consultez Charger des fichiers dans Azure stockage Blob à l’aide d’AzCopy.

  1. Si vous n’avez pas encore de conteneur de stockage, créez-en un en exécutant la commande suivante.

    azcopy make 
https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>

  2. Ensuite, exécutez la commande suivante pour charger le fichier.

    azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'

Charger votre fichier dans Portail Azure

Si vous n’utilisez pas AzCopy, chargez votre fichier à l’aide de la Portail Azure. Accédez à votre compte de stockage dans Portail Azure pour charger le fichier CSV avec vos données watchlist.

  1. Si vous n’avez pas encore de conteneur de stockage existant, créez-en un. Pour le niveau d’accès public au conteneur, utilisez la valeur par défaut qui est définie sur Privé (aucun accès anonyme).
  2. Chargez un objet blob de blocs pour charger votre fichier CSV dans le compte de stockage.

Étape 2 : Créer une URL de signature d’accès partagé

Créez une URL de signature d’accès partagé pour Microsoft Sentinel récupérer les données de watchlist.

Remarque

Seul l’URI SAS d’objet blob public est pris en charge.

  1. Suivez les étapes décrites dans Créer des jetons SAS pour les objets blob dans le Portail Azure.
  2. Définissez le délai d’expiration du jeton de signature d’accès partagé sur au moins six heures.
  3. Conservez la valeur par défaut pour Adresses IP autorisées comme vide.
  4. Copiez la valeur de l’URL SAS d’objet blob.

Étape 3 : Ajouter Azure à l’onglet CORS

Avant d’utiliser un URI SAS, ajoutez le Portail Azure à la configuration CORS (Cross-Origin Resource Sharing).

  1. Accédez aux paramètres du compte de stockage, page Partage de ressources .
  2. Sélectionnez l’onglet Service d’objets blob .
  3. Ajoutez https://*.portal.azure.net à la table origines autorisées.
  4. Sélectionnez les méthodes autorisées appropriées de GET et OPTIONS.
  5. Enregistrez la configuration.

Pour plus d’informations, consultez Prise en charge de CORS pour stockage Azure.

Étape 4 : Ajouter la watchlist à un espace de travail

  1. Dans le portail Defender, accédez à Microsoft Sentinel>Configuration>Watchlist.

  2. Sélectionnez + Nouveau pour ouvrir l’Assistant Watchlist.

  3. Dans la page Général , entrez le nom, la description et l’alias de la watchlist, puis sélectionnez Suivant : Source.

  4. Dans la page Source , utilisez les informations du tableau suivant pour charger les données de votre watchlist, puis sélectionnez Suivant : Vérifier + créer.

    Field Description
    Type de source Stockage Azure (préversion)
    Sélectionner un type pour le jeu de données Fichier CSV avec un en-tête (.csv)
    Nombre de lignes avant la ligne avec en-têtes Entrez le nombre de lignes avant la ligne d’en-tête qui se trouve dans votre fichier de données.
    URL SAS d’objet blob (préversion) Collez l’URL d’accès partagé que vous avez créée.
    SearchKey Entrez le nom d’une colonne dans votre watchlist que vous prévoyez d’utiliser comme jointure avec d’autres données ou un objet de recherche fréquent. Par exemple, si votre watchlist de serveur contient des noms de pays/régions et leurs codes de pays à deux lettres respectifs, et que vous prévoyez d’utiliser souvent les codes de pays pour la recherche ou les jointures, utilisez la colonne Code comme SearchKey.

  5. Passez en revue les informations, vérifiez qu’elles sont correctes, puis sélectionnez Créer. Une notification s’affiche une fois la watchlist créée.

La création d’une liste de surveillance volumineuse et la disponibilité des nouvelles données dans les requêtes peut prendre un certain temps.

Créer une watchlist manuellement (préversion)

Pour créer une watchlist à partir de zéro :

  1. Dans le portail Defender, accédez à Microsoft Sentinel>Configuration>Watchlist.

  2. Sélectionnez + Nouveau pour ouvrir l’Assistant Watchlist.

  3. Dans la page Général , entrez le nom, la description et l’alias de la watchlist, puis sélectionnez Suivant : Source.

  4. Dans la page Source , choisissez Manuel (préversion) comme Type de source.

  5. Ajoutez et définissez les noms de colonnes de votre watchlist. Choisissez la colonne qui sert de clé de recherche. Cette clé est la colonne de votre watchlist que vous prévoyez d’utiliser comme jointure avec d’autres données ou un objet de recherche fréquent.

    Capture d’écran de l’option permettant de créer une watchlist manuellement.

  6. Sélectionnez Suivant : Vérifier + créer.

  7. Passez en revue les informations, vérifiez qu’elles sont correctes, puis sélectionnez Créer. Une notification s’affiche une fois la watchlist créée.

La création de la watchlist et la disponibilité des nouvelles données dans les requêtes peut prendre plusieurs minutes.

Remarque

Les watchlists que vous créez manuellement contiennent automatiquement une seule entrée qui utilise les valeurs par défaut. Vous pouvez mettre à jour cette entrée en fonction des besoins. Pour plus d’informations, consultez Gérer les watchlists.

Afficher les status watchlist

Pour afficher les status d’une watchlist dans votre espace de travail :

  1. Dans le portail Defender, accédez à Microsoft Sentinel>Configuration>Watchlist.

  2. Sous l’onglet Mes watchlists , sélectionnez la watchlist.

  3. Dans la page de détails, passez en revue l’état (préversion) .

    Capture d’écran montrant le status dans la watchlist.

  4. Lorsque le status est Réussi, sélectionnez Afficher dans les journaux pour utiliser la watchlist dans une requête. L’affichage de la watchlist dans Log Analytics peut prendre plusieurs minutes.

    Capture d’écran de la page watchlist avec le bouton Afficher dans les journaux mis en évidence.

Télécharger le modèle watchlist (préversion)

Téléchargez l’un des modèles watchlist à partir de Microsoft Sentinel pour remplir vos données. Chargez ensuite ce fichier lorsque vous créez la watchlist dans Microsoft Sentinel.

Chaque modèle de watchlist intégré a son propre jeu de données répertorié dans le fichier CSV attaché au modèle. Pour plus d’informations, consultez Schémas de watchlist intégrés.

Pour télécharger l’un des modèles watchlist :

  1. Dans le portail Defender, accédez à Microsoft Sentinel>Configuration>Watchlist.

  2. Sélectionnez l’onglet Modèles (préversion) .

  3. Sélectionnez un modèle dans la liste pour afficher les détails du modèle dans le volet droit.

  4. Sélectionnez les points de suspension ... à la fin de la ligne.

  5. Sélectionnez Télécharger le schéma.

    Capture d’écran de l’onglet Modèles watchlist avec l’option Télécharger le schéma sélectionnée dans le menu contextuel.

  6. Renseignez votre version locale du fichier et enregistrez-la localement en tant que fichier CSV.

  7. Suivez les étapes pour charger une watchlist créée à partir d’un modèle (préversion) .

Listes de surveillance supprimées et recréées dans la vue Log Analytics

Si vous supprimez et recréez une watchlist, vous pouvez voir les entrées supprimées et recréées dans Log Analytics dans le contrat SLA de cinq minutes pour l’ingestion des données. Si vous voyez ces entrées ensemble dans Log Analytics pendant une période plus longue, envoyez un ticket de support.

Contenu connexe

Pour plus d’informations sur les watchlists et les Microsoft Sentinel, consultez :

  • Last updated on