Volglijsten maken in Microsoft Sentinel

  • Van toepassing op: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Volglijsten in Microsoft Sentinel u helpen bij het correleren van gegevens uit een gegevensbron die u opgeeft met de gebeurtenissen in uw Microsoft Sentinel-omgeving. U kunt bijvoorbeeld een volglijst maken met een lijst met waardevolle activa, beëindigde werknemers of serviceaccounts in uw omgeving.

U kunt een volglijst maken met behulp van een van de volgende methoden:

U kunt lokale bestanden tot 3,8 MB uploaden. Een bestand van meer dan 3,8 MB en maximaal 500 MB wordt beschouwd als een grote volglijst. Als u een grote volglijst wilt uploaden, uploadt u het bestand naar een Azure Storage-account. Voordat u een volglijst maakt, bekijkt u de beperkingen van volglijsten.

Gegevens in de log analytics-volglijsttabel worden 28 dagen bewaard.

Belangrijk

De functies voor volglijstsjablonen, de mogelijkheid om een volglijst te maken op basis van een bestand in Azure Storage en de mogelijkheid om handmatig een volglijst te maken, zijn momenteel in PREVIEW. De aanvullende voorwaarden voor Azure preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure functies die in bètaversie, preview of anderszins nog niet algemeen beschikbaar zijn.

Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal. Vanaf juli 2025 worden veel nieuwe klanten automatisch onboarding uitgevoerd en omgeleid naar de Defender-portal.

Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden. Zie It's Time to Move: De Azure Portal van Microsoft Sentinel wordt buiten gebruik gesteld voor meer informatie voor meer informatie.

Een volglijst uploaden vanuit een lokale map

U kunt op twee manieren een CSV-bestand uploaden vanaf uw lokale computer om een volglijst te maken.

Een volglijst uploaden vanuit een bestand dat u hebt gemaakt

Als u geen volglijstsjabloon hebt gebruikt om uw bestand te maken:

  1. Ga in de Defender-portal naar Microsoft Sentinel>Configuratie>volglijst.

  2. Selecteer + Nieuw om de wizard Volglijst te openen.

    Schermopname van de pagina Microsoft Sentinel Volglijst met de knop Nieuw gemarkeerd.

  3. Voer op de pagina Algemeen de naam, beschrijving en alias voor de volglijst in en selecteer vervolgens Volgende: Bron.

    Schermopname van het tabblad Volglijst algemeen in de wizard Volglijsten.

  4. Gebruik op de pagina Bron de informatie in de volgende tabel om de volglijstgegevens te uploaden en selecteer vervolgens Volgende: Beoordelen en maken.

    Veld Beschrijving
    Brontype Lokaal bestand
    Bestandstype CSV-bestand met een header (.csv)
    Aantal regels vóór rij met koppen Voer het aantal regels in voor de veldnamenrij in het gegevensbestand.
    Bestand uploaden Sleep het gegevensbestand of selecteer Bladeren naar bestanden en selecteer het bestand dat u wilt uploaden.
    SearchKey Voer de naam in van een kolom in uw volglijst die u verwacht te gebruiken als join met andere gegevens of als een frequent zoekobject. Als uw serverwachtlijst bijvoorbeeld land-/regionamen en hun respectieve tweeletterige landcodes bevat en u verwacht de landcodes vaak te gebruiken voor zoekopdrachten of joins, gebruikt u de kolom Code als de Zoeksleutel.

    Opmerking

    Als uw CSV-bestand groter is dan 3,8 MB, moet u de instructies gebruiken voor Een grote volglijst maken op basis van een bestand in Azure Storage.

    Schermopname van het brontabblad van de volglijst.

  5. Controleer de informatie, controleer of deze juist is en selecteer vervolgens Maken.

    Schermopname van de controlepagina van de volglijst.

    Er wordt een melding weergegeven zodra de volglijst is gemaakt.

Het kan enkele minuten duren voordat de volglijst is gemaakt en de nieuwe gegevens beschikbaar zijn in query's.

Een volglijst uploaden die is gemaakt op basis van een sjabloon (preview)

Een volglijst maken van een sjabloon die u hebt ingevuld:

  1. Ga in de Defender-portal naar Microsoft Sentinel>Configuratie>volglijst.

  2. Selecteer het tabblad Sjablonen (preview).

  3. Selecteer de juiste sjabloon in de lijst om details van de sjabloon in het rechterdeelvenster weer te geven.

  4. Selecteer Maken op basis van sjabloon om de wizard Volglijst te openen.

    Schermopname van de optie om een volglijst te maken op basis van een ingebouwde sjabloon.

  5. Op de pagina Algemeen ziet u dat de velden Naam, Beschrijving en Alias allemaal alleen-lezen zijn. Selecteer Volgende: Bron.

  6. Selecteer op de pagina Bronde optie Bladeren naar bestanden en selecteer vervolgens het bestand dat u hebt gemaakt op basis van de sjabloon.

  7. Selecteer Volgende: Controleren en maken en selecteer vervolgens Maken. Er wordt een melding weergegeven zodra de volglijst is gemaakt.

Het kan enkele minuten duren voordat de volglijst is gemaakt en de nieuwe gegevens beschikbaar zijn in query's.

Een grote volglijst maken van een bestand in Azure Storage (preview)

Als u een grote volglijst van maximaal 500 MB hebt, uploadt u het volglijstbestand naar uw Azure Storage-account. Maak vervolgens een handtekening-URL voor gedeelde toegang voor Microsoft Sentinel om de volglijstgegevens op te halen. Een handtekening-URL voor gedeelde toegang is een URI die zowel de resource-URI als het shared access signature-token van een resource bevat, zoals een CSV-bestand in uw opslagaccount. Voeg ten slotte de volglijst toe aan uw werkruimte in Microsoft Sentinel.

Zie Azure Shared Access Signature-token voor opslag voor meer informatie over handtekeningen voor gedeelde toegang.

Stap 1: een volglijstbestand uploaden naar Azure Storage

Als u een groot volglijstbestand wilt uploaden naar uw Azure Storage-account, gebruikt u AzCopy of de Azure Portal.

  1. Als u nog geen Azure Storage-account hebt, maakt u een opslagaccount. Het opslagaccount kan zich in een andere resourcegroep of regio bevinden dan uw werkruimte in Microsoft Sentinel.
  2. Gebruik AzCopy of de Azure Portal om uw CSV-bestand met uw volglijstgegevens te uploaden naar het opslagaccount.

Uw bestand uploaden met AzCopy

Upload bestanden en mappen naar Blob Storage met behulp van het opdrachtregelprogramma AzCopy v10. Zie Bestanden uploaden naar Azure Blob-opslag met behulp van AzCopy voor meer informatie.

  1. Als u nog geen opslagcontainer hebt, maakt u er een door de volgende opdracht uit te voeren.

    azcopy make 
https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>

  2. Voer vervolgens de volgende opdracht uit om het bestand te uploaden.

    azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'

Uw bestand uploaden in Azure Portal

Als u AzCopy niet gebruikt, uploadt u het bestand met behulp van de Azure Portal. Ga naar uw opslagaccount in Azure Portal om het CSV-bestand met uw volglijstgegevens te uploaden.

  1. Als u nog geen bestaande opslagcontainer hebt, maakt u een container. Gebruik voor het niveau van openbare toegang tot de container de standaardinstelling die is ingesteld op Privé (geen anonieme toegang).
  2. Upload een blok-blob om uw CSV-bestand te uploaden naar het opslagaccount.

Stap 2: Handtekening-URL voor gedeelde toegang maken

Maak een shared access signature-URL voor Microsoft Sentinel om de volglijstgegevens op te halen.

Opmerking

Alleen de openbare BLob SAS-URI wordt ondersteund.

  1. Volg de stappen in SAS-tokens voor blobs maken in de Azure Portal.
  2. Stel de verlooptijd van het handtekeningtoken voor gedeelde toegang in op ten minste zes uur.
  3. Houd de standaardwaarde voor Toegestane IP-adressen leeg.
  4. Kopieer de waarde voor blob-SAS-URL.

Stap 3: voeg Azure toe aan het tabblad CORS

Voordat u een SAS-URI gebruikt, voegt u de Azure Portal toe aan de cors-configuratie (Cross-Origin Resource Sharing).

  1. Ga naar de instellingen van het opslagaccount, pagina Resource delen .
  2. Selecteer het tabblad Blob-service .
  3. Voeg toe https://*.portal.azure.net aan de tabel met toegestane oorsprongen.
  4. Selecteer de juiste toegestane methoden van GET en OPTIONS.
  5. Sla de configuratie op.

Zie CORS-ondersteuning voor Azure Storage voor meer informatie.

Stap 4: De volglijst toevoegen aan een werkruimte

  1. Ga in de Defender-portal naar Microsoft Sentinel>Configuratie>volglijst.

  2. Selecteer + Nieuw om de wizard Volglijst te openen.

  3. Voer op de pagina Algemeen de naam, beschrijving en alias voor de volglijst in en selecteer vervolgens Volgende: Bron.

  4. Gebruik op de pagina Bron de informatie in de volgende tabel om de volglijstgegevens te uploaden en selecteer vervolgens Volgende: Beoordelen en maken.

    Veld Beschrijving
    Brontype Azure Storage (preview)
    Selecteer een type voor de gegevensset CSV-bestand met een header (.csv)
    Aantal regels vóór rij met koppen Voer het aantal regels in voor de veldnamenrij in het gegevensbestand.
    Blob SAS-URL (preview) Plak de URL voor gedeelde toegang die u hebt gemaakt.
    SearchKey Voer de naam in van een kolom in uw volglijst die u verwacht te gebruiken als join met andere gegevens of als een frequent zoekobject. Als uw serverwachtlijst bijvoorbeeld land-/regionamen en hun respectieve tweeletterige landcodes bevat en u verwacht de landcodes vaak te gebruiken voor zoekopdrachten of joins, gebruikt u de kolom Code als de Zoeksleutel.

  5. Controleer de informatie, controleer of deze juist is en selecteer vervolgens Maken. Er wordt een melding weergegeven zodra de volglijst is gemaakt.

Het kan even duren voordat een grote volglijst is gemaakt en de nieuwe gegevens beschikbaar zijn in query's.

Handmatig een volglijst maken (preview)

Een volledig nieuwe volglijst maken:

  1. Ga in de Defender-portal naar Microsoft Sentinel>Configuratie>volglijst.

  2. Selecteer + Nieuw om de wizard Volglijst te openen.

  3. Voer op de pagina Algemeen de naam, beschrijving en alias voor de volglijst in en selecteer vervolgens Volgende: Bron.

  4. Kies op de pagina Bronde optie Handmatig (preview) als brontype.

  5. Voeg de kolomnamen voor uw volglijst toe en definieer deze. Kies de kolom die fungeert als uw zoeksleutel. Deze sleutel is de kolom in uw volglijst die u verwacht te gebruiken als koppeling met andere gegevens of als een frequent zoekobject.

    Schermopname van de optie om handmatig een volglijst te maken.

  6. Selecteer Volgende: Controleren en maken.

  7. Controleer de informatie, controleer of deze juist is en selecteer vervolgens Maken. Er wordt een melding weergegeven zodra de volglijst is gemaakt.

Het kan enkele minuten duren voordat de volglijst is gemaakt en de nieuwe gegevens beschikbaar zijn in query's.

Opmerking

Volglijsten die u handmatig maakt, bevatten automatisch één vermelding die standaardwaarden gebruikt. U kunt deze vermelding zo nodig bijwerken. Zie Watchlists beheren voor meer informatie.

Status van volglijst weergeven

De status van een volglijst in uw werkruimte weergeven:

  1. Ga in de Defender-portal naar Microsoft Sentinel>Configuratie>volglijst.

  2. Selecteer op het tabblad Mijn volglijsten de volglijst.

  3. Controleer op de detailpagina de status (preview).

    Schermopname van de status op de volglijst.

  4. Wanneer de status Geslaagd is, selecteert u Weergeven in logboeken om de volglijst in een query te gebruiken. Het kan enkele minuten duren voordat de volglijst wordt weergegeven in Log Analytics.

    Schermopname van de volglijstpagina met de knop Weergeven in logboeken gemarkeerd.

Watchlist-sjabloon downloaden (preview)

Download een van de volglijstsjablonen van Microsoft Sentinel om uw gegevens te vullen. Upload dat bestand vervolgens wanneer u de volglijst maakt in Microsoft Sentinel.

Elke ingebouwde volglijstsjabloon heeft een eigen set gegevens die wordt vermeld in het CSV-bestand dat aan de sjabloon is gekoppeld. Zie Ingebouwde volglijstschema's voor meer informatie.

Een van de volglijstsjablonen downloaden:

  1. Ga in de Defender-portal naar Microsoft Sentinel>Configuratie>volglijst.

  2. Selecteer het tabblad Sjablonen (preview).

  3. Selecteer een sjabloon in de lijst om de details van de sjabloon in het rechterdeelvenster weer te geven.

  4. Selecteer het beletselteken ... aan het einde van de rij.

  5. Selecteer Schema downloaden.

    Schermopname van het tabblad Volglijstsjablonen met de optie Schema downloaden geselecteerd in het contextmenu.

  6. Vul uw lokale versie van het bestand in en sla het lokaal op als een CSV-bestand.

  7. Volg de stappen om de volglijst te uploaden die is gemaakt op basis van een sjabloon (preview).

Verwijderde en opnieuw gemaakte volglijsten in de Log Analytics-weergave

Als u een volglijst verwijdert en opnieuw maakt, ziet u mogelijk zowel de verwijderde als de opnieuw gemaakte vermeldingen in Log Analytics binnen de SLA van vijf minuten voor gegevensopname. Als u deze vermeldingen langere tijd samen ziet in Log Analytics, dient u een ondersteuningsticket in.

Verwante onderwerpen

Zie voor meer informatie over volglijsten en Microsoft Sentinel:

  • Last updated on