Criar watchlists no Microsoft Sentinel
As watchlists no Microsoft Sentinel permitem correlacionar dados de uma fonte de dados que você fornece com os eventos em seu ambiente do Microsoft Sentinel. Por exemplo, você pode criar uma watchlist com uma lista de ativos de alto valor, funcionários demitidos ou contas de serviço em seu ambiente.
Carregue um arquivo de watchlist de uma pasta local ou de sua conta de Armazenamento do Microsoft Azure. Para criar um arquivo de watchlist, você tem a opção de baixar um dos modelos de watchlist do Microsoft Sentinel a ser preenchido com seus dados. Em seguida, carregue esse arquivo quando você criar a watchlist no Microsoft Sentinel.
Atualmente, os uploads de arquivos locais estão restritos a arquivos de até 3,8 MB de tamanho. Um arquivo com mais de 3,8 MB e até 500 MB é considerado uma watchlist grande. Carregue o arquivo em uma conta do Armazenamento do Microsoft Azure. Antes de criar uma watchlist, examine as limitações das watchlists.
Importante
Os recursos dos modelos watchlist e a capacidade de criar uma watchlist de um arquivo no Armazenamento do Microsoft Azure estão atualmente em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
O Microsoft Sentinel já está em disponibilidade geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Como versão prévia, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Carregar uma watchlist de um arquivo local
Você tem duas maneiras de carregar um arquivo CSV de seu computador local para criar uma watchlist.
- Para um arquivo de watchlist criado sem um modelo de watchlist: selecione Adicionar novo e insira as informações necessárias.
- Para um arquivo de watchlist criado com base em um modelo baixado do Microsoft Sentinel: acesse a guia Modelos (versão prévia) da watchlist. Selecione a opção Criar de um modelo. O Azure preenche previamente o nome, a descrição e o alias da watchlist para você.
Carregar a watchlist de um arquivo que você criou
Se você não usou um modelo de watchlist para criar seu arquivo,
Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Watchlist.
Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuração>Watchlist.Selecione + Novo.
Na página Geral, forneça o nome, a descrição e o alias para a watchlist.
Selecione Avançar: origem.
Use as informações na tabela a seguir para carregar os dados da watchlist.
Campo Descrição Selecione um tipo para o conjunto de dados Arquivo CSV com um cabeçalho (.csv) Número de linhas antes da linha com títulos Insira o número de linhas antes da linha de cabeçalho que está no arquivo de dados. Carregar arquivo Arraste e solte o arquivo de dados ou selecione Procurar arquivos e selecione o arquivo a ser carregado. SearchKey Insira o nome de uma coluna em sua watchlist que você espera usar como uma junção com outros dados ou um objeto frequente de pesquisas. Por exemplo, se a lista de observação do servidor contiver nomes de países/regiões e seus respectivos códigos de país/região de duas letras, e você espera usar os códigos de país/região com frequência para pesquisas ou junções, use a coluna Código como SearchKey. Observação
Se o seu arquivo CSV for maior que 3,8 MB, você precisará usar as instruções para Criar uma lista de observação grande a partir do arquivo no Armazenamento do Azure.
Clique em Avançar: Revisar e criar.
Revise as informações, verifique se estão corretas, aguarde a mensagem Validação aprovada e selecione Criar.
Uma notificação será exibida quando a watchlist for criada.
Pode levar vários minutos para que a watchlist seja criada e os novos dados sejam disponibilizados em consultas.
Carregar uma watchlist criada de um modelo (versão prévia)
Para criar a watchlist com base em um modelo que você preencheu,
Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Watchlist.
Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuração>Watchlist.Selecione a guia Modelos (versão prévia).
Selecione o modelo apropriado na lista para exibir detalhes do modelo no painel direito.
Selecione Criar de um modelo.
Na guia Geral, observe que os campos Nome, Descrição e Alias da Watchlist são todos somente leitura.
Na guia Origem, selecione Procurar arquivos e selecione o arquivo que você criou com base no modelo.
Selecione Avançar: examinar e criar>Criar.
Observe se uma notificação do Azure aparece quando a watchlist é criada.
Pode levar vários minutos para que a watchlist seja criada e os novos dados sejam disponibilizados em consultas.
Criar uma watchlist grande do arquivo no Armazenamento do Microsoft Azure (versão prévia)
Se você tem um arquivo grande de watchlist com até 500 MB de tamanho, carregue-o na sua conta do Armazenamento do Microsoft Azure. Em seguida, crie uma URL de assinatura de acesso compartilhado para o Microsoft Sentinel recuperar os dados da watchlist. Uma URL de assinatura de acesso compartilhado é um URI que contém o URI de recurso e o token de assinatura de acesso compartilhado de um recurso, como um arquivo csv, na sua conta de armazenamento. Por fim, adicione a watchlist ao seu workspace no Microsoft Sentinel.
Para saber mais sobre as assinaturas de acesso compartilhado, confira Token de assinatura de acesso compartilhado do Armazenamento do Microsoft Azure.
Etapa 1: carregar um arquivo de watchlist para o Armazenamento do Microsoft Azure
Para carregar um arquivo de watchlist grande em sua conta do Armazenamento do Microsoft Azure, use AzCopy ou o portal do Azure.
- Se você ainda não tem uma conta do Armazenamento do Microsoft Azure, crie uma conta de armazenamento. A conta de armazenamento pode estar em um grupo de recursos ou região diferente do seu workspace no Microsoft Sentinel.
- Use o AzCopy ou o portal do Azure para carregar o arquivo csv com os dados da watchlist na conta de armazenamento.
Carregar o arquivo com o AzCopy
Carregue arquivos e diretórios no Armazenamento de Blobs usando o utilitário de linha de comando AzCopy v10. Para saber mais, confira Carregar arquivos no Armazenamento de Blobs do Azure usando o AzCopy.
Se você ainda não tem um contêiner de armazenamento, crie um executando o comando a seguir.
azcopy make https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>
Depois, execute o comando a seguir para carregar o arquivo.
azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'
Carregar o arquivo no portal do Azure
Se você não usar o AzCopy, carregue o arquivo usando o portal do Azure. Vá para sua conta de armazenamento no portal do Azure para carregar o arquivo csv com os dados da watchlist.
- Se você ainda não tem um contêiner de armazenamento existente, crie um contêiner. Para o nível de acesso público ao contêiner, recomendamos o padrão, que é que o nível seja definido como Privado (sem acesso anônimo).
- Carregue o arquivo csv para a conta de armazenamento carregando um blob de blocos.
Etapa 2: criar uma URL de assinatura de acesso compartilhado
Crie uma URL de assinatura de acesso compartilhado para o Microsoft Sentinel recuperar os dados da watchlist.
- Siga as etapas em Criar tokens de SAS para blobs no portal do Azure.
- Defina o tempo de expiração do token de assinatura de acesso compartilhado como no mínimo 6 horas.
- Mantenha o valor padrão para Endereços IP permitidos em branco.
- Copie o valor de URL de SAS do blob.
Etapa 3: Adicionar o Azure à guia CORS
Antes de utilizar um URI SAS, adicione o portal do Azure ao CORS (compartilhamento de recursos entre origens).
- Vá para as configurações da conta de armazenamento, página Compartilhamento de recursos.
- Selecione a guia Serviço Blob.
- Adicione
https://*.portal.azure.net
à tabela de origens permitida. - Selecione os Métodos permitidos apropriados de
GET
eOPTIONS
. - Salve a configuração.
Para obter mais informações, consulte Suporte a CORS para Armazenamento do Azure.
Etapa 4: Adicionar a watchlist a um workspace
Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Watchlist.
Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuração>Watchlist.Selecione + Novo.
Na página Geral, forneça o nome, a descrição e o alias para a watchlist.
Selecione Avançar: origem.
Use as informações na tabela a seguir para carregar os dados da watchlist.
Campo Descrição Tipo de origem Armazenamento do Microsoft Azure (versão prévia) Selecione um tipo para o conjunto de dados Arquivo CSV com um cabeçalho (.csv) Número de linhas antes da linha com títulos Insira o número de linhas antes da linha de cabeçalho que está no arquivo de dados. URL de SAS do Blob (versão prévia) Cole a URL de acesso compartilhado que você criou. SearchKey Insira o nome de uma coluna em sua watchlist que você espera usar como uma junção com outros dados ou um objeto frequente de pesquisas. Por exemplo, se a lista de observação do servidor contiver nomes de países/regiões e seus respectivos códigos de país/região de duas letras, e você espera usar os códigos de país/região com frequência para pesquisas ou junções, use a coluna Código como SearchKey. Depois de inserir todas as informações, sua página será semelhante à imagem a seguir.
Clique em Avançar: Revisar e criar.
Revise as informações, verifique se estão corretas e aguarde a mensagem Validação aprovada.
Selecione Criar.
Pode levar algum tempo para que a watchlist seja criada e os novos dados sejam disponibilizados em consultas.
Exibir status da watchlist
Veja o status selecionando a watchlist em seu workspace.
Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Watchlist.
Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuração>Watchlist.Na guia Minhas Watchlists, selecione a watchlist.
Na página de detalhes, examine o Status (versão prévia).
Quando o status for Bem-sucedido, selecione Exibir no Log Analytics para usar a watchlist em uma consulta. Pode levar vários minutos para que a watchlist apareça no Log Analytics.
Baixar o modelo watchlist (versão prévia)
Baixe um dos modelos de watchlist do Microsoft Sentinel para preencher com seus dados. Em seguida, carregue esse arquivo quando você criar a watchlist no Microsoft Sentinel.
Cada modelo de watchlist integrado tem um conjunto próprio de dados listado no arquivo CSV anexado ao modelo. Para obter mais informações, confira Esquemas de watchlist integrados.
Para baixar um dos modelos de watchlist,
Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Watchlist.
Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuração>Watchlist.Selecione a guia Modelos (versão prévia).
Selecione um modelo na lista para exibir detalhes do modelo no painel direito.
Escolha as reticências ... no final da linha.
Selecione o Esquema de Download.
Preencha a versão local do arquivo e salve-a localmente como um arquivo CSV.
Siga as etapas para carregar uma watchlist criada de um modelo (versão prévia).
Watchlists excluídas e recriadas na exibição do Log Analytics
Se você excluir e recriar uma watchlist, poderá ver as entradas excluídas e recriadas simultaneamente no Log Analytics durante o SLA de cinco minutos para ingestão de dados. Se você vir essas entradas juntas no Log Analytics por um período de tempo mais longo, envie um tíquete de suporte.
Conteúdo relacionado
Para saber mais sobre o Microsoft Sentinel, confira os artigos a seguir:
- Saiba como obter visibilidade dos seus dados e de possíveis ameaças
- Introdução à detecção de ameaças com o Microsoft Sentinel
- Use pastas de trabalho para monitorar seus dados.
- Gerenciar watchlists
- Criar consultas e regras de detecção com watchlists