Opprette visningslister i Microsoft Sentinel

  • Gjelder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Visningslister i Microsoft Sentinel hjelpe deg med å koordinere data fra en datakilde som du angir med hendelsene i Microsoft Sentinel miljøet. Du kan for eksempel opprette en visningsliste med en liste over aktiva med høy verdi, avsluttede ansatte eller tjenestekontoer i miljøet ditt.

Du kan opprette en visningsliste ved hjelp av en av følgende metoder:

Du kan laste opp lokale filer på opptil 3,8 MB. En fil på over 3,8 MB og opptil 500 MB regnes som en stor visningsliste. Hvis du vil laste opp en stor visningsliste, laster du opp filen til en Azure Storage-konto. Før du oppretter en visningsliste, kan du se gjennom begrensningene i visningslister.

Data i watchlist-tabellen for log analytics beholdes i 28 dager.

Viktig

Funksjonene for maler for visningslister, muligheten til å opprette en visningsliste fra en fil i Azure Storage, og muligheten til å opprette en visningsliste manuelt, er for øyeblikket i FORHÅNDSVERSJON. Tilleggsvilkårene for Azure Preview inkluderer ytterligere juridiske vilkår som gjelder for Azure funksjoner som er i beta, forhåndsversjon eller på annen måte ikke er utgitt i generell tilgjengelighet.

Etter 31. mars 2027 vil Microsoft Sentinel ikke lenger støttes i Azure Portal og vil bare være tilgjengelig i Microsoft Defender-portalen. Alle kunder som bruker Microsoft Sentinel i Azure Portal, blir omdirigert til Defender-portalen og vil bare bruke Microsoft Sentinel i Defender-portalen. Fra og med juli 2025 blir mange nye kunder automatisk omlastet og omdirigert til Defender-portalen.

Hvis du fortsatt bruker Microsoft Sentinel i Azure Portal, anbefaler vi at du begynner å planlegge overgangen til Defender-portalen for å sikre en jevn overgang og dra full nytte av opplevelsen av enhetlige sikkerhetsoperasjoner som tilbys av Microsoft Defender. Hvis du vil ha mer informasjon, kan du se Det er på tide å flytte: Tilbaketrekking av Microsoft Sentinel er Azure Portal for større sikkerhet.

Laste opp en visningsliste fra en lokal mappe

Du har to måter å laste opp en CSV-fil fra den lokale maskinen på for å opprette en visningsliste.

  • For en visningslistefil du opprettet uten en visningslistemal: Velg Legg til ny , og skriv inn den nødvendige informasjonen.
  • For en visningslistefil som er opprettet fra en mal som er lastet ned fra Microsoft Sentinel: Gå til fanen Maler for visningsliste (forhåndsvisning). Velg alternativet Opprett fra mal. Azure forhåndsutfyller navnet, beskrivelsen og visningslistealiaset for deg.

Laste opp en visningsliste fra en fil du opprettet

Hvis du ikke brukte en mal for visningsliste til å opprette filen:

  1. Gå til Microsoft Sentinel>Configuration>Watchlist i Defender-portalen.

  2. Velg + Ny for å åpne veiviseren for visningsliste.

    Skjermbilde av siden Microsoft Sentinel visningsliste med Ny-knappen uthevet.

  3. Skriv inn navn, beskrivelse og alias for visningslisten på Generelt-siden , og velg deretter Neste: Kilde.

    Skjermbilde av den generelle visningslistefanen i veiviseren for visningslister.

  4. Bruk informasjonen i tabellen nedenfor til å laste opp visningslistedataene på Kilde-siden , og velg deretter Neste: Se gjennom + opprett.

    Felt Beskrivelse
    Kildetype Lokal fil
    Filtype CSV-fil med topptekst (.csv)
    Antall linjer før rad med overskrifter Skriv inn antall linjer før overskriftsraden som er i datafilen.
    Last opp fil Dra og slipp datafilen, eller velg Bla gjennom etter filer , og velg filen du vil laste opp.
    SearchKey Skriv inn navnet på en kolonne i visningslisten som du forventer å bruke som sammenføyning med andre data eller et hyppig objekt med søk. Hvis for eksempel server-visningslisten inneholder navn på land/område og deres respektive landskoder på to bokstaver, og du forventer å bruke landskodene ofte for søk eller sammenføyninger, bruker du Kode-kolonnen som SearchKey.

    Obs!

    Hvis CSV-filen er større enn 3,8 MB, må du bruke instruksjonene for å opprette en stor visningsliste fra filen i Azure Storage.

    Skjermbilde som viser kildefanen for visningsliste.

  5. Se gjennom informasjonen, kontroller at den er riktig, og velg deretter Opprett.

    Skjermbilde av gjennomgangssiden for visningslisten.

    Et varsel vises når visningslisten er opprettet.

Det kan ta flere minutter før visningslisten opprettes, og de nye dataene er tilgjengelige i spørringer.

Laste opp en visningsliste som er opprettet fra en mal (forhåndsversjon)

Slik oppretter du en visningsliste fra en mal du har fylt ut:

  1. Gå til Microsoft Sentinel>Configuration>Watchlist i Defender-portalen.

  2. Velg fanemalene (forhåndsvisning).

  3. Velg den aktuelle malen fra listen for å vise detaljer om malen i ruten til høyre.

  4. Velg Opprett fra mal for å åpne veiviseren for visningsliste.

    Skjermbilde av alternativet for å opprette en visningsliste fra en innebygd mal.

  5. Legg merke til at feltene Navn, Beskrivelse og Alias er skrivebeskyttet på Generelt-siden. Velg Neste: Kilde.

  6. Velg Bla gjennom etter filerKilde-siden, og velg deretter filen du opprettet fra malen.

  7. Velg Neste: Se gjennom + opprett, og velg deretter Opprett. Et varsel vises når visningslisten er opprettet.

Det kan ta flere minutter før visningslisten opprettes, og de nye dataene er tilgjengelige i spørringer.

Opprette en stor visningsliste fra filen i Azure Storage (forhåndsversjon)

Hvis du har en stor visningsliste på opptil 500 MB, laster du opp visningslistefilen til Azure Storage-kontoen. Deretter oppretter du en url-adresse for delt tilgangssignatur for Microsoft Sentinel for å hente visningslistedataene. En url-adresse for delt tilgangssignatur er en URI som inneholder både ressurs-URI og delt tilgangssignaturtoken for en ressurs, for eksempel en CSV-fil i lagringskontoen. Til slutt legger du til visningslisten i arbeidsområdet i Microsoft Sentinel.

Hvis du vil ha mer informasjon om signaturer for delt tilgang, kan du se Azure Signaturtoken for delt tilgang for lagring.

Trinn 1: Laste opp en visningslistefil til Azure Storage

Hvis du vil laste opp en stor visningslistefil til Azure Storage-kontoen, bruker du AzCopy eller Azure Portal.

  1. Hvis du ikke allerede har en Azure Storage-konto, kan du opprette en lagringskonto. Lagringskontoen kan være i en annen ressursgruppe eller et annet område enn arbeidsområdet i Microsoft Sentinel.
  2. Bruk enten AzCopy eller Azure Portal til å laste opp CSV-filen med visningslistedataene til lagringskontoen.

Last opp filen med AzCopy

Last opp filer og kataloger til Blob-lagring ved hjelp av kommandolinjeverktøyet AzCopy v10. Hvis du vil ha mer informasjon, kan du se Laste opp filer for å Azure Blob-lagring ved hjelp av AzCopy.

  1. Hvis du ikke allerede har en lagringsbeholder, kan du opprette en ved å kjøre følgende kommando.

    azcopy make 
https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>

  2. Deretter kjører du følgende kommando for å laste opp filen.

    azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'

Last opp filen i Azure Portal

Hvis du ikke bruker AzCopy, kan du laste opp filen ved hjelp av Azure Portal. Gå til lagringskontoen i Azure Portal for å laste opp CSV-filen med visningslistedataene.

  1. Hvis du ikke allerede har en eksisterende lagringsbeholder, oppretter du en beholder. Bruk standardnivået som er satt til Privat (ingen anonym tilgang) for nivået for offentlig tilgang til beholderen.
  2. Last opp en blokkblob for å laste opp CSV-filen til lagringskontoen.

Trinn 2: Opprett url-adresse for signatur for delt tilgang

Opprett en url-adresse for delt tilgangssignatur for Microsoft Sentinel for å hente visningslistedataene.

Obs!

Bare offentlig BLOB SAS-URI støttes.

  1. Følg trinnene i Opprett SAS-tokener for blober i Azure Portal.
  2. Angi utløpstiden for signaturtokenet for delt tilgang til minst seks timer.
  3. Behold standardverdien for tillatte IP-adresser som tom.
  4. Kopier verdien for BLOB SAS-nettadressen.

Trinn 3: Legge til Azure på CORS-fanen

Før du bruker en SAS-URI, må du legge til Azure Portal i cors-konfigurasjonen (Cross-Origin Resource Sharing).

  1. Gå til innstillingene for lagringskontoen, ressursdelingssiden .
  2. Velg kategorien Blob-tjeneste .
  3. Legg https://*.portal.azure.net til i tabellen for tillatt opprinnelse.
  4. Velg riktige tillatte metoderGET for og OPTIONS.
  5. Lagre konfigurasjonen.

Hvis du vil ha mer informasjon, kan du se CORS-støtte for Azure Storage.

Trinn 4: Legge til visningslisten i et arbeidsområde

  1. Gå til Microsoft Sentinel>Configuration>Watchlist i Defender-portalen.

  2. Velg + Ny for å åpne veiviseren for visningsliste.

  3. Skriv inn navn, beskrivelse og alias for visningslisten på Generelt-siden , og velg deretter Neste: Kilde.

  4. Bruk informasjonen i tabellen nedenfor til å laste opp visningslistedataene på Kilde-siden , og velg deretter Neste: Se gjennom + opprett.

    Felt Beskrivelse
    Kildetype Azure Storage (forhåndsversjon)
    Velg en type for datasettet CSV-fil med topptekst (.csv)
    Antall linjer før rad med overskrifter Skriv inn antall linjer før overskriftsraden som er i datafilen.
    BLOB SAS URL (forhåndsvisning) Lim inn URL-adressen for delt tilgang som du opprettet.
    SearchKey Skriv inn navnet på en kolonne i visningslisten som du forventer å bruke som sammenføyning med andre data eller et hyppig objekt med søk. Hvis for eksempel server-visningslisten inneholder navn på land/område og deres respektive landskoder på to bokstaver, og du forventer å bruke landskodene ofte for søk eller sammenføyninger, bruker du Kode-kolonnen som SearchKey.

  5. Se gjennom informasjonen, kontroller at den er riktig, og velg deretter Opprett. Et varsel vises når visningslisten er opprettet.

Det kan ta litt tid før en stor visningsliste opprettes, og at de nye dataene er tilgjengelige i spørringer.

Opprette en visningsliste manuelt (forhåndsversjon)

Slik oppretter du en visningsliste fra grunnen av:

  1. Gå til Microsoft Sentinel>Configuration>Watchlist i Defender-portalen.

  2. Velg + Ny for å åpne veiviseren for visningsliste.

  3. Skriv inn navn, beskrivelse og alias for visningslisten på Generelt-siden , og velg deretter Neste: Kilde.

  4. Velg Manuell (forhåndsvisning) som kildetypeKilde-siden.

  5. Legg til og definer kolonnenavnene for visningslisten. Velg kolonnen som fungerer som søkenøkkel. Denne nøkkelen er kolonnen i visningslisten som du forventer å bruke som sammenføyning med andre data eller et hyppig objekt med søk.

    Skjermbilde av alternativet for å opprette en visningsliste manuelt.

  6. Velg Neste: Se gjennom + opprett.

  7. Se gjennom informasjonen, kontroller at den er riktig, og velg deretter Opprett. Et varsel vises når visningslisten er opprettet.

Det kan ta flere minutter før visningslisten opprettes, og de nye dataene er tilgjengelige i spørringer.

Obs!

Visningslister du oppretter manuelt, inneholder automatisk én enkelt oppføring som bruker standardverdier. Du kan oppdatere denne oppføringen etter behov. Hvis du vil ha mer informasjon, kan du se Administrere visningslister.

Vis status for visningsliste

Slik viser du statusen for en visningsliste i arbeidsområdet:

  1. Gå til Microsoft Sentinel>Configuration>Watchlist i Defender-portalen.

  2. Velg visningslisten på Mine visningslister-fanen .

  3. Se gjennom statusen (forhåndsvisning) på detaljsiden.

    Skjermbilde som viser statusen på visningslisten.

  4. Når statusen er fullført, velger du Vis i logger for å bruke visningslisten i en spørring. Det kan ta flere minutter før visningslisten vises i Log Analytics.

    Skjermbilde av visningslistesiden med Vis i logger-knappen uthevet.

Last ned visningslistemal (forhåndsversjon)

Last ned en av visningslistemalene fra Microsoft Sentinel for å fylle ut dataene. Last deretter opp filen når du oppretter visningslisten i Microsoft Sentinel.

Hver innebygde visningslistemal har sitt eget sett med data som er oppført i CSV-filen som er knyttet til malen. Hvis du vil ha mer informasjon, kan du se innebygde visningslisteskjemaer.

Slik laster du ned en av visningslistemalene:

  1. Gå til Microsoft Sentinel>Configuration>Watchlist i Defender-portalen.

  2. Velg fanemalene (forhåndsvisning).

  3. Velg en mal fra listen for å vise detaljer om malen i ruten til høyre.

  4. Velg ellipsen ... på slutten av raden.

  5. Velg Last ned skjema.

    Skjermbilde av Visningslistemaler-fanen med alternativet Last ned skjema valgt fra hurtigmenyen.

  6. Fyll ut den lokale versjonen av filen, og lagre den lokalt som en CSV-fil.

  7. Følg trinnene for å laste opp visningsliste opprettet fra en mal (forhåndsvisning).

Slettede og gjenopprettede visningslister i Logganalyse-visning

Hvis du sletter og oppretter en visningsliste på nytt, kan det hende du ser både de slettede og gjenopprettede oppføringene i Log Analytics innen den fem minutter lange serviceavtalen for datainntak. Hvis du ser disse oppføringene sammen i Log Analytics i en lengre periode, kan du sende inn en støtteforespørsel.

Beslektet innhold

Hvis du vil ha mer informasjon om visningslister og Microsoft Sentinel, kan du se:

  • Last updated on