Skapa visningslistor i Microsoft Sentinel

  • Gäller för: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Visningslistor i Microsoft Sentinel hjälper dig att korrelera data från en datakälla som du tillhandahåller med händelserna i din Microsoft Sentinel miljö. Du kan till exempel skapa en visningslista med en lista över tillgångar med högt värde, avslutade anställda eller tjänstkonton i din miljö.

Du kan skapa en visningslista med någon av följande metoder:

Du kan ladda upp lokala filer upp till 3,8 MB. En fil som är över 3,8 MB och upp till 500 MB anses vara en stor visningslista. Ladda upp en stor visningslista genom att ladda upp filen till ett Azure Storage-konto. Innan du skapar en visningslista bör du granska begränsningarna för visningslistor.

Data i log analytics watchlist-tabellen behålls i 28 dagar.

Viktigt

Funktionerna för visningslistmallar, möjligheten att skapa en visningslista från en fil i Azure Storage och möjligheten att skapa en visningslista manuellt finns för närvarande i förhandsversion. De kompletterande villkoren för Azure förhandsversion innehåller ytterligare juridiska villkor som gäller för Azure funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Efter den 31 mars 2027 kommer Microsoft Sentinel inte längre att stödjas i Azure Portal och kommer endast att vara tillgängligt i Microsoft Defender-portalen. Alla kunder som använder Microsoft Sentinel i Azure Portal omdirigeras till Defender-portalen och använder endast Microsoft Sentinel i Defender-portalen. Från och med juli 2025 registreras och omdirigeras många nya kunder automatiskt till Defender-portalen.

Om du fortfarande använder Microsoft Sentinel i Azure Portal rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender. Mer information finns i It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Det är dags att flytta: Dra tillbaka Microsoft Sentinel är Azure Portal för ökad säkerhet).

Ladda upp en visningslista från en lokal mapp

Du har två sätt att ladda upp en CSV-fil från din lokala dator för att skapa en visningslista.

  • För en visningslistefil som du skapade utan en visningslistmall: Välj Lägg till ny och ange nödvändig information.
  • För en visningslista som skapats från en mall som laddats ned från Microsoft Sentinel: Gå till fliken Mallar för visningslista (förhandsversion). Välj alternativet Skapa från mall. Azure fyller i aliaset för namn, beskrivning och visningslista i förväg.

Ladda upp en visningslista från en fil som du har skapat

Om du inte använde en visningslistmall för att skapa filen:

  1. I Defender-portalen går du till Microsoft Sentinel>Konfigurationsbevakningslista>.

  2. Välj + Ny för att öppna guiden Visningslista.

    Skärmbild av sidan Microsoft Sentinel visningslista med knappen Ny markerad.

  3. På sidan Allmänt anger du namn, beskrivning och alias för visningslistan och väljer sedan Nästa: Källa.

    Skärmbild av bevakningslistans allmänna flik i guiden visningslistor.

  4. På sidan Källa använder du informationen i följande tabell för att ladda upp dina visningslistdata och väljer sedan Nästa: Granska + skapa.

    Fält Beskrivning
    Källtyp Lokal fil
    Filtyp CSV-fil med en rubrik (.csv)
    Antal rader före rad med rubriker Ange antalet rader före rubrikraden som finns i datafilen.
    Ladda upp fil Dra och släpp antingen datafilen eller välj Bläddra efter filer och välj den fil som ska laddas upp.
    SearchKey Ange namnet på en kolumn i visningslistan som du förväntar dig att använda som en koppling till andra data eller ett vanligt objekt för sökningar. Om din serverbevakningslista till exempel innehåller lands-/regionnamn och deras respektive landskoder med två bokstäver, och du förväntar dig att använda landskoderna ofta för sökning eller kopplingar, använder du kolumnen Kod som SearchKey.

    Obs!

    Om CSV-filen är större än 3,8 MB måste du använda anvisningarna för Skapa en stor visningslista från fil i Azure Storage.

    Skärmbild som visar källfliken för visningslistan.

  5. Granska informationen, kontrollera att den är korrekt och välj sedan Skapa.

    Skärmbild av granskningssidan för visningslistan.

    Ett meddelande visas när visningslistan har skapats.

Det kan ta flera minuter innan visningslistan skapas och att nya data är tillgängliga i frågor.

Ladda upp en visningslista som skapats från en mall (förhandsversion)

Så här skapar du en visningslista från en mall som du har fyllt i:

  1. I Defender-portalen går du till Microsoft Sentinel>Konfigurationsbevakningslista>.

  2. Välj fliken Mallar (förhandsversion).

  3. Välj lämplig mall i listan för att visa information om mallen i den högra rutan.

  4. Välj Skapa från mall för att öppna guiden Visningslista.

    Skärmbild av alternativet att skapa en visningslista från en inbyggd mall.

  5. På sidan Allmänt ser du att fälten Namn, Beskrivning och Alias är skrivskyddade. Välj Nästa: Källa.

  6. På sidan Källa väljer du Bläddra efter filer och väljer sedan den fil som du skapade från mallen.

  7. Välj Nästa: Granska + skapa och välj sedan Skapa. Ett meddelande visas när visningslistan har skapats.

Det kan ta flera minuter innan visningslistan skapas och att nya data är tillgängliga i frågor.

Skapa en stor visningslista från en fil i Azure Storage (förhandsversion)

Om du har en stor visningslista på upp till 500 MB laddar du upp din visningslista till ditt Azure Storage-konto. Skapa sedan en url för signatur för delad åtkomst för Microsoft Sentinel för att hämta visningslistans data. En url för signatur för delad åtkomst är en URI som innehåller både resurs-URI:n och signaturtoken för delad åtkomst för en resurs, t.ex. en CSV-fil i ditt lagringskonto. Lägg slutligen till visningslistan på arbetsytan i Microsoft Sentinel.

Mer information om signaturer för delad åtkomst finns i Azure Token för signatur för delad åtkomst i Storage.

Steg 1: Ladda upp en visningslista till Azure Storage

Om du vill ladda upp en stor visningslista till ditt Azure Storage-konto använder du AzCopy eller Azure Portal.

  1. Om du inte redan har ett Azure Storage-konto skapar du ett lagringskonto. Lagringskontot kan finnas i en annan resursgrupp eller region än din arbetsyta i Microsoft Sentinel.
  2. Använd antingen AzCopy eller Azure Portal för att ladda upp CSV-filen med dina visningslistade data till lagringskontot.

Ladda upp filen med AzCopy

Ladda upp filer och kataloger till Blob Storage med hjälp av kommandoradsverktyget AzCopy v10. Mer information finns i Ladda upp filer till Azure Blob Storage med hjälp av AzCopy.

  1. Om du inte redan har en lagringscontainer skapar du en genom att köra följande kommando.

    azcopy make 
https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>

  2. Kör sedan följande kommando för att ladda upp filen.

    azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'

Ladda upp filen i Azure Portal

Om du inte använder AzCopy laddar du upp filen med hjälp av Azure Portal. Gå till ditt lagringskonto i Azure Portal för att ladda upp CSV-filen med dina visningslistedata.

  1. Om du inte redan har en befintlig lagringscontainer skapar du en container. För nivån för offentlig åtkomst till containern använder du standardvärdet Privat (ingen anonym åtkomst).
  2. Ladda upp en blockblob för att ladda upp CSV-filen till lagringskontot.

Steg 2: Skapa url för signatur för delad åtkomst

Skapa en url för signatur för delad åtkomst för Microsoft Sentinel för att hämta visningslistans data.

Obs!

Endast offentlig Blob SAS-URI stöds.

  1. Följ stegen i Skapa SAS-token för blobar i Azure Portal.
  2. Ange förfallotid för signaturtoken för delad åtkomst till minst sex timmar.
  3. Behåll standardvärdet för Tillåtna IP-adresser som tomt.
  4. Kopiera värdet för Blob SAS URL.

Steg 3: Lägg till Azure på fliken CORS

Innan du använder en SAS-URI lägger du till Azure Portal i CORS-konfigurationen (Cross-Origin Resource Sharing).

  1. Gå till lagringskontoinställningarna, sidan Resursdelning .
  2. Välj fliken Blob-tjänst .
  3. Lägg till https://*.portal.azure.net i den tillåtna ursprungstabellen.
  4. Välj lämpliga tillåtna metoder förGET och OPTIONS.
  5. Spara konfigurationen.

Mer information finns i CORS-stöd för Azure Storage.

Steg 4: Lägg till visningslistan på en arbetsyta

  1. I Defender-portalen går du till Microsoft Sentinel>Konfigurationsbevakningslista>.

  2. Välj + Ny för att öppna guiden Visningslista.

  3. På sidan Allmänt anger du namn, beskrivning och alias för visningslistan och väljer sedan Nästa: Källa.

  4. På sidan Källa använder du informationen i följande tabell för att ladda upp dina visningslistdata och väljer sedan Nästa: Granska + skapa.

    Fält Beskrivning
    Källtyp Azure Storage (förhandsversion)
    Välj en typ för datauppsättningen CSV-fil med en rubrik (.csv)
    Antal rader före rad med rubriker Ange antalet rader före rubrikraden som finns i datafilen.
    BLOB SAS-URL (förhandsversion) Klistra in url:en för delad åtkomst som du skapade.
    SearchKey Ange namnet på en kolumn i visningslistan som du förväntar dig att använda som en koppling till andra data eller ett vanligt objekt för sökningar. Om din serverbevakningslista till exempel innehåller lands-/regionnamn och deras respektive landskoder med två bokstäver, och du förväntar dig att använda landskoderna ofta för sökning eller kopplingar, använder du kolumnen Kod som SearchKey.

  5. Granska informationen, kontrollera att den är korrekt och välj sedan Skapa. Ett meddelande visas när visningslistan har skapats.

Det kan ta en stund innan en stor visningslista skapas och att nya data är tillgängliga i frågor.

Skapa en visningslista manuellt (förhandsversion)

Så här skapar du en visningslista från grunden:

  1. I Defender-portalen går du till Microsoft Sentinel>Konfigurationsbevakningslista>.

  2. Välj + Ny för att öppna guiden Visningslista.

  3. På sidan Allmänt anger du namn, beskrivning och alias för visningslistan och väljer sedan Nästa: Källa.

  4. På sidan Källa väljer du Manuell (förhandsversion) som Källtyp.

  5. Lägg till och definiera kolumnnamnen för din visningslista. Välj den kolumn som fungerar som söknyckel. Den här nyckeln är kolumnen i din visningslista som du förväntar dig att använda som en koppling till andra data eller ett vanligt objekt för sökningar.

    Skärmbild av alternativet att skapa en visningslista manuellt.

  6. Välj Nästa: Granska + skapa.

  7. Granska informationen, kontrollera att den är korrekt och välj sedan Skapa. Ett meddelande visas när visningslistan har skapats.

Det kan ta flera minuter innan visningslistan skapas och att nya data är tillgängliga i frågor.

Obs!

Visningslistor som du skapar manuellt innehåller en enda post som använder standardvärden. Du kan uppdatera den här posten efter behov. Mer information finns i Hantera visningslistor.

Visa status för visningslista

Så här visar du status för en visningslista på din arbetsyta:

  1. I Defender-portalen går du till Microsoft Sentinel>Konfigurationsbevakningslista>.

  2. På fliken Mina bevakningslistor väljer du visningslistan .

  3. På informationssidan granskar du Status (förhandsversion).

    Skärmbild som visar statusen i visningslistan.

  4. När statusen är Lyckades väljer du Visa i loggar för att använda visningslistan i en fråga. Det kan ta flera minuter innan visningslistan visas i Log Analytics.

    Skärmbild av visningslistsidan med knappen Visa i loggar markerad.

Ladda ned visningslistmall (förhandsversion)

Ladda ned en av visningslistmallarna från Microsoft Sentinel för att fylla med dina data. Ladda sedan upp filen när du skapar visningslistan i Microsoft Sentinel.

Varje inbyggd visningslistmall har en egen uppsättning data som anges i CSV-filen som är kopplad till mallen. Mer information finns i Inbyggda scheman för visningslistor.

Så här laddar du ned en av visningslistmallarna:

  1. I Defender-portalen går du till Microsoft Sentinel>Konfigurationsbevakningslista>.

  2. Välj fliken Mallar (förhandsversion).

  3. Välj en mall i listan för att visa information om mallen i den högra rutan.

  4. Välj ellipserna ... i slutet av raden.

  5. Välj Ladda ned schema.

    Skärmbild av fliken Visningslista mallar med alternativet Ladda ned schema valt från snabbmenyn.

  6. Fyll i din lokala version av filen och spara den lokalt som en CSV-fil.

  7. Följ stegen för att ladda upp visningslistan som skapats från en mall (förhandsversion).

Borttagna och återskapade visningslistor i Log Analytics-vyn

Om du tar bort och återskapar en visningslista kan du se både borttagna och återskapade poster i Log Analytics inom det fem minuter långa serviceavtalet för datainmatning. Om du ser dessa poster tillsammans i Log Analytics under en längre tid skickar du ett supportärende.

Relaterat innehåll

Mer information om visningslistor och Microsoft Sentinel finns i:

  • Last updated on