Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Gli elenchi di controllo in Microsoft Sentinel consentono di correlare i dati di un'origine dati fornita con gli eventi nell'ambiente Microsoft Sentinel. Ad esempio, è possibile creare una watchlist con un elenco di asset di valore elevato, dipendenti terminati o account di servizio nell'ambiente.
È possibile creare un watchlist usando uno dei metodi seguenti:
- Caricare un file watchlist da una cartella locale
- Caricare un file watchlist dall'account di archiviazione Azure
- Creare manualmente una watchlist
È attualmente possibile caricare file locali di dimensioni fino a 3,8 MB. Un file di dimensioni superiori a 3,8 MB e fino a 500 MB è considerato un elenco di controllo di grandi dimensioni. Per caricare una watchlist di grandi dimensioni, caricare il file in un account di archiviazione Azure. Prima di creare una watchlist, esaminare le limitazioni delle watchlist.
I dati nella tabella Log Analytics Watchlist vengono conservati per 28 giorni.
Importante
Le funzionalità per i modelli watchlist, la possibilità di creare una watchlist da un file in Azure Storage e la possibilità di creare manualmente una watchlist sono attualmente disponibili in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima Azure includono termini legali aggiuntivi che si applicano alle funzionalità Azure in versione beta, in anteprima o in altro modo non ancora rilasciate nella disponibilità generale.
Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender. A partire da luglio 2025, molti nuovi clienti vengono caricati e reindirizzati automaticamente al portale di Defender.
Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender. Per altre informazioni, vedere It's Time to Move: Ritiro della portale di Azure di Microsoft Sentinel per una maggiore sicurezza.
Caricare una watchlist da una cartella locale
Sono disponibili due modi per caricare un file CSV dal computer locale per creare una watchlist.
- Per un file watchlist creato senza un modello watchlist: selezionare Aggiungi nuovo e immettere le informazioni necessarie.
- Per un file watchlist creato da un modello scaricato da Microsoft Sentinel: passare alla scheda Modelli watchlist (anteprima). Selezionare l'opzione Crea dal modello. Azure popola automaticamente il nome, la descrizione e l'alias della watchlist.
Caricare una watchlist da un file creato
Se non è stato usato un modello watchlist per creare il file:
Nel portale di Defender passare a Microsoft Sentinel>Configuration>Watchlist.
Selezionare + Nuovo per aprire la procedura guidata Watchlist.
Nella pagina Generale immettere il nome, la descrizione e l'alias per l'elenco di controllo e quindi selezionare Avanti: Origine.
Nella pagina Origine usare le informazioni nella tabella seguente per caricare i dati dell'elenco di controllo e quindi selezionare Avanti: Rivedi e crea.
Campo Descrizione Tipo di origine File locale Tipo di file File CSV con un'intestazione (.csv) Numero di righe prima della riga con intestazioni Immettere il numero di righe prima della riga di intestazione presente nel file di dati. Caricare il file Trascinare e rilasciare il file di dati oppure selezionare Cerca file e selezionare il file da caricare. SearchKey Immettere il nome di una colonna nell'elenco di controllo che si prevede di usare come join con altri dati o un oggetto frequente di ricerche. Ad esempio, se l'elenco di controllo del server contiene nomi di paese/area geografica e i rispettivi codici paese a due lettere e si prevede di usare spesso i codici paese per la ricerca o l'aggiunta, usare la colonna Codice come chiave di ricerca. Nota
Se il file CSV è maggiore di 3,8 MB, è necessario usare le istruzioni per Creare un elenco di controllo di grandi dimensioni da un file in archiviazione Azure.
Esaminare le informazioni, verificare che siano corrette e quindi selezionare Crea.
Una notifica viene visualizzata dopo la creazione dell'elenco di controllo.
La creazione dell'elenco di controllo e la disponibilità dei nuovi dati nelle query potrebbero richiedere alcuni minuti.
Caricare una watchlist creata da un modello (anteprima)
Per creare una watchlist da un modello popolato:
Nel portale di Defender passare a Microsoft Sentinel>Configuration>Watchlist.
Selezionare la scheda Modelli (anteprima).
Selezionare il modello appropriato dall'elenco per visualizzare i dettagli del modello nel riquadro di destra.
Selezionare Crea dal modello per aprire la procedura guidata Watchlist.
Nella pagina Generale si noti che i campi Nome, Descrizione e Alias sono tutti di sola lettura. Selezionare Avanti: Origine.
Nella pagina Origine selezionare Cerca file e quindi selezionare il file creato dal modello.
Selezionare Avanti: Rivedi e crea, quindi selezionare Crea. Una notifica viene visualizzata dopo la creazione dell'elenco di controllo.
La creazione dell'elenco di controllo e la disponibilità dei nuovi dati nelle query potrebbero richiedere alcuni minuti.
Creare un elenco di controllo di grandi dimensioni da un file in archiviazione Azure (anteprima)
Se si dispone di una watchlist di grandi dimensioni fino a 500 MB, caricare il file watchlist nell'account di archiviazione Azure. Creare quindi un URL di firma di accesso condiviso per Microsoft Sentinel per recuperare i dati dell'elenco di controllo. Un URL di firma di accesso condiviso è un URI che contiene sia l'URI della risorsa che il token di firma di accesso condiviso di una risorsa, ad esempio un file CSV nell'account di archiviazione. Aggiungere infine l'elenco di controllo all'area di lavoro in Microsoft Sentinel.
Per altre informazioni sulle firme di accesso condiviso, vedere Azure Token di firma di accesso condiviso di Archiviazione.
Passaggio 1: Caricare un file watchlist in archiviazione Azure
Per caricare un file watchlist di grandi dimensioni nell'account di archiviazione Azure, usare AzCopy o il portale di Azure.
- Se non si dispone già di un account di archiviazione Azure, creare un account di archiviazione. L'account di archiviazione può trovarsi in un gruppo di risorse o in un'area diversa dall'area di lavoro in Microsoft Sentinel.
- Usare AzCopy o il portale di Azure per caricare il file CSV con i dati dell'elenco di controllo nell'account di archiviazione.
Caricare il file con AzCopy
Caricare file e directory nell'archiviazione BLOB usando l'utilità da riga di comando AzCopy v10. Per altre informazioni, vedere Caricare file nell'archivio BLOB Azure usando AzCopy.
Se non si dispone già di un contenitore di archiviazione, crearne uno eseguendo il comando seguente.
azcopy make https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>Eseguire quindi il comando seguente per caricare il file.
azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'
Caricare il file in portale di Azure
Se non si usa AzCopy, caricare il file usando il portale di Azure. Passare all'account di archiviazione in portale di Azure per caricare il file CSV con i dati dell'elenco di controllo.
- Se non si dispone già di un contenitore di archiviazione esistente, creare un contenitore. Per il livello di accesso pubblico al contenitore, usare il valore predefinito impostato su Privato (nessun accesso anonimo).
- Caricare un BLOB in blocchi per caricare il file CSV nell'account di archiviazione.
Passaggio 2: Creare l'URL della firma di accesso condiviso
Creare un URL di firma di accesso condiviso per Microsoft Sentinel per recuperare i dati dell'elenco di controllo.
- Seguire la procedura descritta in Creare token di firma di accesso condiviso per i BLOB nel portale di Azure.
- Impostare l'ora di scadenza del token di firma di accesso condiviso su almeno sei ore.
- Mantenere vuoto il valore predefinito per Indirizzi IP consentiti .
- Copiare il valore per l'URL di firma di accesso condiviso blob.
Passaggio 3: Aggiungere Azure alla scheda CORS
Prima di usare un URI di firma di accesso condiviso, aggiungere il portale di Azure alla condivisione delle risorse tra origini (CORS).
- Passare alle impostazioni dell'account di archiviazione, pagina Condivisione risorse .
- Selezionare la scheda Servizio BLOB .
- Aggiungere
https://*.portal.azure.netalla tabella delle origini consentite. - Selezionare i metodi consentiti appropriati di
GETeOPTIONS. - Salvare la configurazione.
Per altre informazioni, vedere Supporto di CORS per l'archiviazione Azure.
Passaggio 4: Aggiungere l'elenco di controllo a un'area di lavoro
Nel portale di Defender passare a Microsoft Sentinel>Configuration>Watchlist.
Selezionare + Nuovo per aprire la procedura guidata Watchlist.
Nella pagina Generale immettere il nome, la descrizione e l'alias per l'elenco di controllo e quindi selezionare Avanti: Origine.
Nella pagina Origine usare le informazioni nella tabella seguente per caricare i dati dell'elenco di controllo e quindi selezionare Avanti: Rivedi e crea.
Campo Descrizione Tipo di origine Archiviazione Azure (anteprima) Selezionare un tipo per il set di dati File CSV con un'intestazione (.csv) Numero di righe prima della riga con intestazioni Immettere il numero di righe prima della riga di intestazione presente nel file di dati. URL firma di accesso condiviso BLOB (anteprima) Incollare l'URL di accesso condiviso creato. SearchKey Immettere il nome di una colonna nell'elenco di controllo che si prevede di usare come join con altri dati o un oggetto frequente di ricerche. Ad esempio, se l'elenco di controllo del server contiene nomi di paese/area geografica e i rispettivi codici paese a due lettere e si prevede di usare spesso i codici paese per la ricerca o l'aggiunta, usare la colonna Codice come chiave di ricerca. Esaminare le informazioni, verificare che siano corrette e quindi selezionare Crea. Una notifica viene visualizzata dopo la creazione dell'elenco di controllo.
La creazione di un elenco di controllo di grandi dimensioni e la disponibilità dei nuovi dati nelle query potrebbero richiedere del tempo.
Creare manualmente una watchlist (anteprima)
Per creare una watchlist da zero:
Nel portale di Defender passare a Microsoft Sentinel>Configuration>Watchlist.
Selezionare + Nuovo per aprire la procedura guidata Watchlist.
Nella pagina Generale immettere il nome, la descrizione e l'alias per l'elenco di controllo e quindi selezionare Avanti: Origine.
Nella pagina Origine scegliere Manuale (anteprima) come tipo di origine.
Aggiungere e definire i nomi delle colonne per l'elenco di controllo. Scegliere la colonna che funge da chiave di ricerca. Questa chiave è la colonna nell'elenco di controllo che si prevede di usare come join con altri dati o un oggetto frequente di ricerche.
Selezionare Avanti: Rivedi e crea.
Esaminare le informazioni, verificare che siano corrette e quindi selezionare Crea. Una notifica viene visualizzata dopo la creazione dell'elenco di controllo.
La creazione dell'elenco di controllo e la disponibilità dei nuovi dati nelle query potrebbero richiedere alcuni minuti.
Nota
Gli elenchi di controllo creati manualmente contengono automaticamente una singola voce che usa i valori predefiniti. È possibile aggiornare questa voce in base alle esigenze. Per altre informazioni, vedere Gestire gli elenchi di controllo.
Visualizzare lo stato dell'elenco di controllo
Per visualizzare lo stato di un elenco di controllo nell'area di lavoro:
Nel portale di Defender passare a Microsoft Sentinel>Configuration>Watchlist.
Nella scheda Espressioni di controllo personali selezionare l'elenco di controllo.
Nella pagina dei dettagli esaminare lo stato (anteprima).On the details page, review the Status (Preview).
Quando lo stato è Completato, selezionare Visualizza nei log per usare l'elenco di controllo in una query. La visualizzazione dell'elenco di controllo in Log Analytics potrebbe richiedere alcuni minuti.
Scaricare il modello watchlist (anteprima)
Scaricare uno dei modelli watchlist da Microsoft Sentinel per popolare i dati. Caricare quindi il file quando si crea l'elenco di controllo in Microsoft Sentinel.
Ogni modello watchlist predefinito ha un proprio set di dati elencato nel file CSV allegato al modello. Per altre informazioni, vedere Schemi watchlist predefiniti.
Per scaricare uno dei modelli watchlist:
Nel portale di Defender passare a Microsoft Sentinel>Configuration>Watchlist.
Selezionare la scheda Modelli (anteprima).
Selezionare un modello nell'elenco per visualizzare i dettagli del modello nel riquadro di destra.
Selezionare i puntini di sospensione ... alla fine della riga.
Selezionare Scarica schema.
Popolare la versione locale del file e salvarlo in locale come file CSV.
Seguire la procedura per caricare l'elenco di controllo creato da un modello (anteprima).
Elenchi di controllo eliminati e ricreati nella visualizzazione Log Analytics
Se si elimina e si ricrea un elenco di controllo, è possibile che vengano visualizzate sia le voci eliminate che le voci ricreate in Log Analytics entro il contratto di servizio di cinque minuti per l'inserimento dei dati. Se queste voci vengono visualizzate insieme in Log Analytics per un periodo di tempo più lungo, inviare un ticket di supporto.
Contenuto correlato
Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:
- Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce
- Introduzione al rilevamento delle minacce con Microsoft Sentinel
- Usare le cartelle di lavoro per monitorare i dati.
- Gestire le watchlist
- Compilare query e regole di rilevamento con watchlist