Erstellen von Watchlists in Microsoft Sentinel

Watchlists in Microsoft Sentinel helfen Ihnen, Daten aus einer Datenquelle, die Sie mit den Ereignissen in Ihrer Microsoft Sentinel-Umgebung bereitstellen, zu korrelieren. Sie können beispielsweise eine Watchlist mit einer Liste von hochwertigen Ressourcen, gekündigten Mitarbeitern oder Dienstkonten in Ihrer Umgebung erstellen.

Sie können eine Watchlist mit einer der folgenden Methoden erstellen:

• Hochladen einer Watchlistdatei aus einem lokalen Ordner
• Hochladen einer Watchlistdatei aus Ihrem Azure Storage-Konto
• Manuelles Erstellen einer Watchlist

Sie können derzeit lokale Dateien mit einer Größe von bis zu 3,8 MB hochladen. Eine Datei mit einer Größe von mehr als 3,8 MB und bis zu 500 MB wird als große Watchlist betrachtet. Um eine große Watchlist hochzuladen, laden Sie die Datei in ein Azure Storage-Konto hoch. Bevor Sie eine Watchlist erstellen, überprüfen Sie die Einschränkungen von Watchlists.

Daten in der Log Analytics-Watchlist-Tabelle werden 28 Tage lang aufbewahrt.

Hochladen einer Watchlist aus einem lokalen Ordner

Sie haben zwei Möglichkeiten, eine CSV-Datei von Ihrem lokalen Computer hochzuladen, um eine Watchlist zu erstellen.

• Für eine Watchlistdatei, die Sie ohne Watchlistvorlage erstellt haben: Wählen Sie Neu hinzufügen aus, und geben Sie die erforderlichen Informationen ein.
• Für eine Watchlistdatei, die aus einer Vorlage erstellt wurde, die aus Microsoft Sentinel heruntergeladen wurde: Wechseln Sie zur Registerkarte Watchlistvorlagen (Vorschau). Wählen Sie die Option Aus Vorlage erstellen aus. Azure füllt den Namen, die Beschreibung und den Watchlistalias vorab für Sie auf.

Hochladen einer Watchlist aus einer von Ihnen erstellten Datei

Wenn Sie zum Erstellen Ihrer Datei keine Watchlistvorlage verwendet haben:

1. Navigieren Sie im Defender-Portal zu Microsoft Sentinel>Konfigurations-Watchlist>.

2. Wählen Sie + Neu aus, um den Watchlist-Assistenten zu öffnen.

   

3. Geben Sie auf der Seite Allgemein den Namen, die Beschreibung und den Alias für die Watchlist ein, und wählen Sie dann Weiter: Quelle aus.

   

4. Verwenden Sie auf der Seite Quelle die Informationen in der folgenden Tabelle, um Ihre Watchlistdaten hochzuladen, und wählen Sie dann Weiter: Überprüfen + erstellen aus.

   Feld	Beschreibung
   Quelltyp	Lokale Datei
   Dateityp	CSV-Datei mit einem Header (.csv)
   Anzahl der Zeilen vor Zeile mit Überschriften	Geben Sie die Anzahl der Zeilen vor der Kopfzeile ein, die sich in Ihrer Datendatei befindet.
   Datei hochladen	Ziehen Sie die Datendatei, und legen Sie sie ab, oder wählen Sie Nach Dateien suchen aus, und wählen Sie die hochzuladende Datei aus.
   SearchKey	Geben Sie den Namen einer Spalte in Ihrer Watchlist ein, die Sie als Verknüpfung mit anderen Daten oder als häufiges Suchobjekt verwenden möchten. Wenn Ihre Server-Watchlist z. B. Länder-/Regionsnamen und die entsprechenden zweistelligen Ländercodes enthält und Sie die Ländercodes häufig für Such- oder Joins verwenden möchten, verwenden Sie die Spalte Code als SearchKey.

   Hinweis

   Wenn Ihre CSV-Datei größer als 3,8 MB ist, müssen Sie die Anweisungen unter Erstellen einer großen Watchlist aus einer Datei in Azure Storage verwenden.

   

5. Überprüfen Sie die Informationen, überprüfen Sie, ob sie korrekt sind, und wählen Sie dann Erstellen aus.

   

   Sobald die Watchlist erstellt wurde, wird eine Benachrichtigung angezeigt.

Es kann einige Minuten dauern, bis die Watchlist erstellt und die neuen Daten in Abfragen verfügbar sind.

Hochladen einer Watchlist, die aus einer Vorlage erstellt wurde (Vorschau)

So erstellen Sie eine Watchlist aus einer Vorlage, die Sie aufgefüllt haben:

1. Navigieren Sie im Defender-Portal zu Microsoft Sentinel>Konfigurations-Watchlist>.

2. Wählen Sie die Registerkarte Vorlagen (Vorschau) aus.

3. Wählen Sie die entsprechende Vorlage aus der Liste aus, um details der Vorlage im rechten Bereich anzuzeigen.

4. Wählen Sie Aus Vorlage erstellen aus, um den Watchlist-Assistenten zu öffnen.

   

5. Beachten Sie auf der Seite Allgemein , dass die Felder Name, Beschreibung und Alias schreibgeschützt sind. Wählen Sie Weiter: Quelle aus.

6. Wählen Sie auf der Seite Quelle die Option Nach Dateien suchen aus, und wählen Sie dann die Datei aus, die Sie aus der Vorlage erstellt haben.

7. Wählen Sie Weiter: Überprüfen + erstellen und dann Erstellen aus. Sobald die Watchlist erstellt wurde, wird eine Benachrichtigung angezeigt.

Es kann einige Minuten dauern, bis die Watchlist erstellt und die neuen Daten in Abfragen verfügbar sind.

Erstellen einer großen Watchlist aus einer Datei in Azure Storage (Vorschau)

Wenn Sie über eine große Watchlist mit einer Größe von bis zu 500 MB verfügen, laden Sie Ihre Watchlistdatei in Ihr Azure Storage-Konto hoch. Erstellen Sie dann eine SHARED Access Signature-URL für Microsoft Sentinel, um die Watchlistdaten abzurufen. Eine SHARED Access Signature-URL ist ein URI, der sowohl den Ressourcen-URI als auch das Shared Access Signature-Token einer Ressource wie einer CSV-Datei in Ihrem Speicherkonto enthält. Fügen Sie schließlich die Watchlist ihrem Arbeitsbereich in Microsoft Sentinel hinzu.

Weitere Informationen zu Shared Access Signatures finden Sie unter Azure Shared Access Signature-Token für Storage.

Schritt 1: Hochladen einer Watchlistdatei in Azure Storage

Verwenden Sie AzCopy oder die Azure-Portal, um eine große Watchlistdatei in Ihr Azure Storage-Konto hochzuladen.

1. Wenn Sie noch nicht über ein Azure Storage-Konto verfügen, erstellen Sie ein Speicherkonto. Das Speicherkonto kann sich in einer anderen Ressourcengruppe oder Region als Ihr Arbeitsbereich in Microsoft Sentinel befinden.
2. Verwenden Sie entweder AzCopy oder die Azure-Portal, um Ihre CSV-Datei mit Ihren Watchlistdaten in das Speicherkonto hochzuladen.

Hochladen der Datei mit AzCopy

Laden Sie Dateien und Verzeichnisse mithilfe des Befehlszeilenprogramms AzCopy v10 in Blob Storage hoch. Weitere Informationen finden Sie unter Hochladen von Dateien in Azure Blob Storage mithilfe von AzCopy.

1. Wenn Sie noch nicht über einen Speichercontainer verfügen, erstellen Sie einen, indem Sie den folgenden Befehl ausführen.

   azcopy make 
   https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>
   

2. Führen Sie als Nächstes den folgenden Befehl aus, um die Datei hochzuladen.

   azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'
   

Laden Sie Ihre Datei in Azure-Portal hoch.

Wenn Sie AzCopy nicht verwenden, laden Sie Ihre Datei mithilfe des Azure-Portal hoch. Wechseln Sie zu Ihrem Speicherkonto in Azure-Portal, um die CSV-Datei mit Ihren Watchlistdaten hochzuladen.

1. Wenn Sie noch keinen Speichercontainer haben, erstellen Sie einen Container. Verwenden Sie für die Ebene des öffentlichen Zugriffs auf den Container den Standardwert, der auf Privat (kein anonymer Zugriff) festgelegt ist.
2. Laden Sie ein Blockblob hoch, um Ihre CSV-Datei in das Speicherkonto hochzuladen.

Schritt 2: Erstellen einer SHARED Access Signature-URL

Erstellen Sie eine Shared Access Signature-URL für Microsoft Sentinel, um die Watchlistdaten abzurufen.

1. Führen Sie die Schritte unter Erstellen von SAS-Token für Blobs im Azure-Portal aus.
2. Legen Sie die Ablaufzeit des Shared Access Signature-Tokens auf mindestens sechs Stunden fest.
3. Behalten Sie den Standardwert für Zulässige IP-Adressen leer.
4. Kopieren Sie den Wert für Blob-SAS-URL.

Schritt 3: Hinzufügen von Azure zur Registerkarte CORS

Bevor Sie einen SAS-URI verwenden, fügen Sie die Azure-Portal dem CORS (Cross Origin Resource Sharing) hinzu.

1. Wechseln Sie zu den Speicherkontoeinstellungen, Seite Ressourcenfreigabe .
2. Wählen Sie die Registerkarte Blob-Dienst aus.
3. Fügen Sie https://*.portal.azure.net der Tabelle zulässige Ursprünge hinzu.
4. Wählen Sie die entsprechenden Zulässigen Methoden von GET und aus OPTIONS.
5. Speichern Sie die Konfiguration.

Weitere Informationen finden Sie unter CORS-Unterstützung für Azure Storage.

Schritt 4: Hinzufügen der Watchlist zu einem Arbeitsbereich

1. Navigieren Sie im Defender-Portal zu Microsoft Sentinel>Konfigurations-Watchlist>.

2. Wählen Sie + Neu aus, um den Watchlist-Assistenten zu öffnen.

3. Geben Sie auf der Seite Allgemein den Namen, die Beschreibung und den Alias für die Watchlist ein, und wählen Sie dann Weiter: Quelle aus.

4. Verwenden Sie auf der Seite Quelle die Informationen in der folgenden Tabelle, um Ihre Watchlistdaten hochzuladen, und wählen Sie dann Weiter: Überprüfen + erstellen aus.

   Feld	Beschreibung
   Quelltyp	Azure Storage (Vorschau)
   Auswählen eines Typs für das Dataset	CSV-Datei mit einem Header (.csv)
   Anzahl der Zeilen vor Zeile mit Überschriften	Geben Sie die Anzahl der Zeilen vor der Kopfzeile ein, die sich in Ihrer Datendatei befindet.
   Blob-SAS-URL (Vorschau)	Fügen Sie die freigegebene ZUGRIFFS-URL ein, die Sie erstellt haben.
   SearchKey	Geben Sie den Namen einer Spalte in Ihrer Watchlist ein, die Sie als Verknüpfung mit anderen Daten oder als häufiges Suchobjekt verwenden möchten. Wenn Ihre Server-Watchlist z. B. Länder-/Regionsnamen und die entsprechenden zweistelligen Ländercodes enthält und Sie die Ländercodes häufig für Such- oder Joins verwenden möchten, verwenden Sie die Spalte Code als SearchKey.

5. Überprüfen Sie die Informationen, überprüfen Sie, ob sie korrekt sind, und wählen Sie dann Erstellen aus. Sobald die Watchlist erstellt wurde, wird eine Benachrichtigung angezeigt.

Es kann eine Weile dauern, bis eine große Watchlist erstellt wurde und die neuen Daten in Abfragen verfügbar sind.

Manuelles Erstellen einer Watchlist (Vorschau)

So erstellen Sie eine Watchlist von Grund auf neu:

1. Navigieren Sie im Defender-Portal zu Microsoft Sentinel>Konfigurations-Watchlist>.

2. Wählen Sie + Neu aus, um den Watchlist-Assistenten zu öffnen.

3. Geben Sie auf der Seite Allgemein den Namen, die Beschreibung und den Alias für die Watchlist ein, und wählen Sie dann Weiter: Quelle aus.

4. Wählen Sie auf der Seite Quelledie Option Manuell (Vorschau) als Quelltyp aus.

5. Fügen Sie die Spaltennamen für Ihre Watchlist hinzu, und definieren Sie sie. Wählen Sie die Spalte aus, die als Suchschlüssel dient. Dieser Schlüssel ist die Spalte in Ihrer Watchlist, die Sie als Verknüpfung mit anderen Daten oder als häufiges Objekt von Suchvorgängen verwenden möchten.

   

6. Wählen Sie Weiter: Überprüfen + erstellen aus.

7. Überprüfen Sie die Informationen, überprüfen Sie, ob sie korrekt sind, und wählen Sie dann Erstellen aus. Sobald die Watchlist erstellt wurde, wird eine Benachrichtigung angezeigt.

Es kann einige Minuten dauern, bis die Watchlist erstellt und die neuen Daten in Abfragen verfügbar sind.

Watchlist-status anzeigen

So zeigen Sie die status einer Watchlist in Ihrem Arbeitsbereich an:

1. Navigieren Sie im Defender-Portal zu Microsoft Sentinel>Konfigurations-Watchlist>.

2. Wählen Sie auf der Registerkarte Meine Watchlists die Watchlist aus.

3. Überprüfen Sie auf der Detailseite den Status (Vorschau).

   

4. Wenn der status Erfolgreich ist, wählen Sie In Protokollen anzeigen aus, um die Watchlist in einer Abfrage zu verwenden. Es kann einige Minuten dauern, bis die Watchlist in Log Analytics angezeigt wird.

   

Herunterladen der Watchlistvorlage (Vorschau)

Laden Sie eine der Watchlistvorlagen aus Microsoft Sentinel herunter, um Ihre Daten aufzufüllen. Laden Sie diese Datei dann hoch, wenn Sie die Watchlist in Microsoft Sentinel erstellen.

Jede integrierte Watchlistvorlage verfügt über einen eigenen Satz von Daten, die in der CSV-Datei aufgeführt sind, die an die Vorlage angefügt ist. Weitere Informationen finden Sie unter Integrierte Watchlistschemas.

So laden Sie eine der Watchlistvorlagen herunter:

1. Navigieren Sie im Defender-Portal zu Microsoft Sentinel>Konfigurations-Watchlist>.

2. Wählen Sie die Registerkarte Vorlagen (Vorschau) aus.

3. Wählen Sie eine Vorlage aus der Liste aus, um details der Vorlage im rechten Bereich anzuzeigen.

4. Wählen Sie die Auslassungspunkte ... am Ende der Zeile aus.

5. Wählen Sie Schema herunterladen aus.

   

6. Füllen Sie Ihre lokale Version der Datei auf, und speichern Sie sie lokal als CSV-Datei.

7. Führen Sie die Schritte zum Hochladen einer Watchlist aus, die aus einer Vorlage erstellt wurde (Vorschau).

Gelöschte und neu erstellte Watchlists in der Log Analytics-Ansicht

Wenn Sie eine Watchlist löschen und neu erstellen, werden möglicherweise sowohl die gelöschten als auch die neu erstellten Einträge in Log Analytics innerhalb der fünfminütigen SLA für die Datenerfassung angezeigt. Wenn diese Einträge für einen längeren Zeitraum in Log Analytics zusammen angezeigt werden, übermitteln Sie ein Supportticket.

Verwandte Inhalte

Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln:

• Erfahren Sie, wie Sie Einblick in Ihre Daten und potenzielle Bedrohungen erhalten.
• Erste Schritte beim Erkennen von Bedrohungen mit Microsoft Sentinel
• Verwenden Sie Arbeitsmappen , um Ihre Daten zu überwachen.
• Verwalten von Watchlists
• Erstellen von Abfragen und Erkennungsregeln mit Watchlists