在 Microsoft Sentinel 中创建监视列表

利用 Microsoft Sentinel 中的监视列表,可以将你提供的数据源中的数据与 Microsoft Sentinel 环境中的事件相关联。 例如,可以创建一个监视列表,其中列出了环境中的高价值资产、离职员工或服务帐户。

从本地文件夹或 Azure 存储帐户上传监视列表文件。 若要创建监视列表文件,可以选择从 Microsoft Sentinel 下载一个监视列表模板并填充数据。 然后在 Microsoft Sentinel 中创建监视列表时上传该文件。

上传的本地文件大小目前限制为最大 3.8 MB。 大小超过 3.8 MB 且最大为 500 MB 的文件被视为大型监视列表。 请将此文件上传到 Azure 存储帐户。 在创建监视列表之前,请查看监视列表的限制

重要

监视列表模板的功能以及从 Azure 存储中的文件创建监视列表的功能目前为预览版。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

从本地文件夹上传监视列表

有两种方法可以从本地机器上传 CSV 文件以创建监视列表。

  • 如果不想使用监视列表模板来创建监视列表文件:选择“添加新文件”,然后输入所需信息。
  • 如果要使用从 Microsoft Sentinel 下载的模板创建监视列表文件:转到监视列表“模板(预览)”选项卡。选择选项“从模板创建”。 Azure 会预先填充名称、说明和监视列表别名。

从创建的文件上传监视列表

如果未使用监视列表模板创建文件,

  1. 转到 Azure 门户,在“配置”下选择“监视列表”。

  2. 选择“+ 新建” 。

    播放列表页面上的“添加播放列表”选项的屏幕截图。

  3. 在“常规”页上,提供监视列表的名称、说明和别名。

    播放列表向导中的播放列表常规选项卡的屏幕截图。

  4. 选择“下一步: 源”。

  5. 使用下表中的信息上传监视列表数据。

    字段 说明
    为数据集选择一种类型 包含头的 CSV 文件 (.csv)
    标题行之前的行数 输入数据文件中标题行之前的行数。
    上传文件 拖放数据文件,或选择“浏览文件”并选择要上传的文件。
    SearchKey 输入监视列表中你希望用作与其他数据的联接或用作常见搜索对象的列的名称。 例如,如果服务器监视列表包含国家/地区名称及其相应的两字母国家/地区代码,并且你希望经常将这些国家/地区代码用于搜索或联接,请使用“代码”列作为 SearchKey

    注意

    如果 CSV 文件大于 3.8 MB,则需要使用“从 Azure 存储中的文件创建大型监视列表”中的说明。

  6. 选择“下一步:审阅并创建”。

    屏幕截图显示监视列表源选项卡。

  7. 查看信息,验证其是否正确,等待“验证通过”消息,然后选择“创建”。

    播放列表评审页面的屏幕截图。

    创建监视列表后,将显示一条通知。

创建监视列表并等待新数据在查询中可用可能需要几分钟时间。

上传从模板创建的监视列表(预览)

若要通过填充的模板创建监视列表,

  1. 转到 Azure 门户,在“配置”下选择“监视列表”。

  2. 选择“模板(预览版)”选项卡。

  3. 从列表中选择相应的模板,以在右窗格中查看该模板的详细信息。

  4. 选择“通过模板创建”。

    用于根据内置模板创建播放列表的选项的屏幕截图。

  5. 在“常规”选项卡上,请注意,“名称”、“说明”和“监视列表别名”字段都为只读。

  6. 在“源”选项卡上,选择“浏览文件”并选择你使用模板创建的文件 。

  7. 选择“下一步: 查看并创建”>“创建” 。

  8. 创建监视列表时注意显示的 Azure 通知。

创建监视列表并等待新数据在查询中可用可能需要几分钟时间。

通过 Azure 存储中的文件创建大型监视列表(预览)

如果有大小高达 500 MB 的大型监视列表文件,请将其上传到 Azure 存储帐户。 然后,为 Microsoft Sentinel 创建一个共享访问签名 URL,用于检索监视列表数据。 共享访问签名 URL 是一个 URI,包含一项资源(如存储帐户中的 csv 文件)的资源 URI 和共享访问签名令牌。 最后,将监视列表添加到 Microsoft Sentinel 中的工作区。

有关共享访问签名的更多信息,请参阅 Azure 存储共享访问签名令牌

步骤 1:将监视列表文件上传到 Azure 存储

若要将大型监视列表文件上传到 Azure 存储帐户,请使用 AzCopy 或 Azure 门户。

  1. 如果还没有 Azure 存储帐户,请创建存储帐户。 存储帐户可位于与 Microsoft Sentinel 中工作区不同的资源组或区域。
  2. 使用 AzCopy 或 Azure 门户将 csv 文件以及监视列表数据上传到存储帐户。

用 AzCopy 上传文件

使用 AzCopy v10 命令行实用程序将文件和目录上传到 Blob 存储。 有关详细信息,请参阅使用 AzCopy 将文件上传到 Azure Blob 存储

  1. 如果还没有存储容器,请运行以下命令创建一个。

    azcopy make 
    https://<storage-account-name>.<blob or dfs>.core.chinacloudapi.cn/<container-name>
    
  2. 接着运行以下命令上传该文件。

    azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.chinacloudapi.cn/<container-name>/<blob-name>'
    

在 Azure 门户中上传文件

如果不使用 AzCopy,请使用 Azure 门户上传文件。 转到 Azure 门户中的存储帐户,将 csv 文件与监视列表数据一起上传。

  1. 如果还没有存储容器,请创建一个容器。 对于容器的公共访问级别,建议使用默认设置,即级别设置为“专用”(无匿名访问权限)。
  2. 通过上传块 Blob 将 csv 文件上传到存储帐户。

步骤 2:创建共享访问签名 URL

为 Microsoft Sentinel 创建一个共享访问签名 URL,用于检索监视列表数据。

  1. 执行在 Azure 门户中为 Blob 创建 SAS 令牌中的步骤。
  2. 将共享访问签名令牌的有效时间设置为至少 6 小时。
  3. 将“允许的 IP 地址”的默认值保留为空
  4. 复制 Blob SAS URL 的值。

步骤 3:将 Azure 添加到 CORS 选项卡

在使用 SAS URI 之前,请将 Azure 门户添加到跨源资源共享 (CORS)。

  1. 转到存储帐户设置 -“资源共享”页
  2. 选择“BLOB 服务”选项卡
  3. https://*.portal.azure.cn 添加到“允许的源”表。
  4. GETOPTIONS 中选择适当的“允许的方法”
  5. 保存配置。

有关详细信息,请参阅 Azure 存储 CORS 支持

步骤 4:将播放列表添加到工作区

  1. 转到 Azure 门户,在“配置”下选择“监视列表”。

  2. 选择“+ 新建” 。

    播放列表页面上的“添加播放列表”的屏幕截图。

  3. 在“常规”页上,提供监视列表的名称、说明和别名。

    播放列表常规选项卡的屏幕截图,其中显示了名称、说明和播放列表别名字段。

  4. 选择“下一步: 源”。

  5. 使用下表中的信息上传监视列表数据。

    字段 说明
    源类型 Azure 存储(预览)
    为数据集选择一种类型 包含头的 CSV 文件 (.csv)
    标题行之前的行数 输入数据文件中标题行之前的行数。
    Blob SAS URL(预览) 粘贴到创建的共享访问 URL 中。
    SearchKey 输入监视列表中你希望用作与其他数据的联接或用作常见搜索对象的列的名称。 例如,如果服务器监视列表包含国家/地区名称及其相应的两字母国家/地区代码,并且你希望经常将这些国家/地区代码用于搜索或联接,请使用“代码”列作为 SearchKey

    输入所有信息后,页面将类似于下图所示。

    播放列表源页面的屏幕截图,其中显示已输入示例值。

  6. 选择“下一步:审阅并创建”。

  7. 查看信息,验证其是否正确,等待“验证通过”消息。

  8. 选择“创建”。

创建大型监视列表并等待新数据在查询中可用可能需要一些时间。

查看监视列表状态

通过选择工作区中的监视列表查看其状态。

  1. 转到 Azure 门户,在“配置”下选择“监视列表”。

  2. 在“我的监视列表”选项卡上,选择监视列表。

  3. 在详细信息页面上,查看“状态(预览)”。

    显示播放列表上的上传状态的屏幕截图。

  4. 当状态为”成功”时,选择”在 Log Analytics 中查看”以在查询中使用监视列表。 监视列可能会在几分钟后显示在 Log Analytics 中。

    屏幕截图

下载监视列表模板(预览)

从 Microsoft Sentinel 下载其中一个监视列表模板,以填充你的数据。 然后在 Microsoft Sentinel 中创建监视列表时上传该文件。

每个内置监视列表模板都有自己的数据集,这些数据列在附加到模板的 CSV 文件中。 有关详细信息,请参阅内置监视列表架构

若要下载其中一个监视列表模板,请执行以下操作:

  1. 转到 Azure 门户,在“配置”下选择“监视列表”。

  2. 选择“模板(预览版)”选项卡。

  3. 从列表中选择一个模板,在右窗格中查看该模板的详细信息。

  4. 选择行尾的省略号 (...)。

  5. 选择“下载架构”。

    屏幕截图显示了“模板”选项卡,并在其中选择了“下载架构”。

  6. 填充文件的本地版本,并在本地将其保存为 CSV 文件。

  7. 执行上传从模板创建的监视列表(预览)中的步骤。

在 Log Analytics 视图中删除和重新创建监视列表

如果删除并重新创建监视列表,你可能会数据引入的五分钟 SLA 内看到 Log Analytics 中已删除和重新创建的条目。 如果你长时间在 Log Analytics 中看到这些条目,请提交支持票证。

若要详细了解 Microsoft Sentinel,请参阅以下文章: