你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 Microsoft Sentinel 中创建监视列表

  • 适用于: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Microsoft Sentinel中的监视列表可帮助你将你提供的数据源中的数据与Microsoft Sentinel环境中的事件相关联。 例如,可以创建一个监视列表,其中包含环境中高价值资产、已终止的员工或服务帐户的列表。

可以使用以下任一方法创建监视列表:

最多可以上传 3.8 MB 的本地文件。 超过 3.8 MB 且最大 500 MB 的文件被视为大型监视列表。 若要上传大型监视列表,请将文件上传到Azure存储帐户。 在创建监视列表之前,请查看 监视列表的限制

Log Analytics 监视列表表中的数据将保留 28 天。

重要

监视列表模板的功能、从 Azure 存储中的文件创建监视列表的功能,以及手动创建监视列表的功能目前为预览版Azure预览版补充条款包括适用于处于 beta 版、预览版或其他尚未正式发布的Azure功能的其他法律条款。

2027 年 3 月 31 日之后,Azure 门户将不再支持Microsoft Sentinel,并且仅在Microsoft Defender门户中可用。 在Azure 门户中使用Microsoft Sentinel的所有客户都将重定向到 Defender 门户,并且仅在 Defender 门户中使用Microsoft Sentinel。 从 2025 年 7 月开始,许多新客户 会自动加入并重定向到 Defender 门户

如果仍在Azure 门户中使用Microsoft Sentinel,建议开始规划到 Defender 门户的转换,以确保平稳过渡,并充分利用 Microsoft Defender 提供的统一安全操作体验。 有关详细信息,请参阅是时候移动了:为提高安全性而停用Microsoft Sentinel Azure 门户

从本地文件夹上传监视列表

可通过两种方法从本地计算机上传 CSV 文件来创建监视列表。

  • 对于在没有 监视列表 模板的情况下创建的监视列表文件:选择“ 添加新 ”并输入所需信息。
  • 对于从 Microsoft Sentinel 下载的模板创建的监视列表文件:转到“监视列表模板 (预览) 选项卡。选择”从模板创建“选项。 Azure为你预填充名称、说明和监视列表别名。

从创建的文件上传监视列表

如果未使用监视列表模板创建文件:

  1. Defender 门户中,转到“Microsoft Sentinel>配置>监视列表”。

  2. 选择“ + 新建 ”以打开 “监视列表”向导

    “Microsoft Sentinel监视列表”页的屏幕截图,其中突出显示了“新建”按钮。

  3. 在“ 常规 ”页上,输入监视列表的名称、说明和别名,然后选择“ 下一步:源”。

    监视列表向导中“监视列表常规”选项卡的屏幕截图。

  4. “源 ”页上,使用下表中的信息上传监视列表数据,然后选择“ 下一步:查看 + 创建”。

    字段 说明
    源类型 本地文件
    文件类型 具有标头 (.csv) 的 CSV 文件
    带标题的行前行数 输入数据文件中标题行前的行数。
    上传文件 拖放数据文件,或选择“ 浏览文件 ”并选择要上传的文件。
    SearchKey 在监视列表中输入要用作与其他数据或频繁搜索对象的联接的列的名称。 例如,如果服务器监视列表包含国家/地区名称及其各自的双字母国家/地区代码,并且你希望经常使用国家/地区代码进行搜索或联接,请使用 “代码” 列作为 SearchKey。

    注意

    如果 CSV 文件大于 3.8 MB,则需要使用从 Azure 存储中的文件创建大型监视列表的说明。

    显示“监视列表源”选项卡的屏幕截图。

  5. 查看信息,验证它是否正确,然后选择“ 创建”。

    监视列表评审页的屏幕截图。

    创建监视列表后,将显示通知。

创建监视列表和新数据在查询中可用可能需要几分钟时间。

上传从模板创建的监视列表 (预览)

若要从填充的模板创建监视列表,请执行以下操作:

  1. Defender 门户中,转到“Microsoft Sentinel>配置>监视列表”。

  2. 选择选项卡 “模板” (“预览”)

  3. 从列表中选择相应的模板,在右窗格中查看模板的详细信息。

  4. 选择“ 从模板创建 ”以打开 “监视列表”向导

    从内置模板创建监视列表的选项的屏幕截图。

  5. 在“ 常规 ”页上,请注意 “名称”、“ 说明”和 “别名” 字段都是只读的。 选择“ 下一步:源”。

  6. 在“ ”页上,选择“ 浏览文件”,然后选择从模板创建的文件。

  7. 选择“ 下一步:查看 + 创建”,然后选择“ 创建”。 创建监视列表后,将显示通知。

创建监视列表和新数据在查询中可用可能需要几分钟时间。

从 Azure 存储 (预览版中的文件创建大型监视列表)

如果大型监视列表最大为 500 MB,请将监视列表文件上传到Azure存储帐户。 然后为Microsoft Sentinel创建共享访问签名 URL,以检索监视列表数据。 共享访问签名 URL 是包含资源 URI 和共享访问签名令牌的 URI,例如存储帐户中的 CSV 文件。 最后,在 Microsoft Sentinel 中将监视列表添加到工作区。

有关共享访问签名的详细信息,请参阅Azure存储共享访问签名令牌

步骤 1:将监视列表文件上传到Azure存储

若要将大型监视列表文件上传到Azure存储帐户,请使用 AzCopy 或 Azure 门户。

  1. 如果还没有Azure存储帐户,请创建一个存储帐户。 存储帐户可以位于与 Microsoft Sentinel 工作区不同的资源组或区域中。
  2. 使用 AzCopy 或 Azure 门户将 CSV 文件以及监视列表数据上传到存储帐户。

使用 AzCopy 上传文件

使用 AzCopy v10 命令行实用工具将文件和目录上传到 Blob 存储。 若要了解详细信息,请参阅使用 AzCopy 将文件上传到Azure Blob 存储

  1. 如果还没有存储容器,请运行以下命令创建一个。

    azcopy make 
https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>

  2. 接下来,运行以下命令以上传文件。

    azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'

在 Azure 门户 中上传文件

如果不使用 AzCopy,请使用 Azure 门户上传文件。 转到 Azure 门户 中的存储帐户,上传包含监视列表数据的 CSV 文件。

  1. 如果还没有现有的存储容器, 请创建一个容器。 对于对容器的公共访问级别,请使用设置为 “专用”的默认值, (无匿名访问)
  2. 上传块 Blob 以将 CSV 文件上传到存储帐户。

步骤 2:创建共享访问签名 URL

为Microsoft Sentinel创建共享访问签名 URL 以检索监视列表数据。

注意

仅支持公共 Blob SAS URI。

  1. 按照在 Azure 门户中为 blob 创建 SAS 令牌中的步骤操作。
  2. 将共享访问签名令牌过期时间设置为至少 6 小时。
  3. “允许的 IP 地址 ”的默认值保留为空。
  4. 复制 Blob SAS URL 的值。

步骤 3:将Azure添加到 CORS 选项卡

在使用 SAS URI 之前,请将Azure 门户添加到跨域资源共享 (CORS) 配置。

  1. 转到存储帐户设置 资源共享 页。
  2. 选择“ Blob 服务 ”选项卡。
  3. 将 添加到 https://*.portal.azure.net 允许的源表。
  4. 选择 和 OPTIONSGET相应允许方法
  5. 保存配置。

有关详细信息,请参阅 CORS 对Azure存储的支持

步骤 4:将监视列表添加到工作区

  1. Defender 门户中,转到“Microsoft Sentinel>配置>监视列表”。

  2. 选择“ + 新建 ”以打开 “监视列表”向导

  3. 在“ 常规 ”页上,输入监视列表的名称、说明和别名,然后选择“ 下一步:源”。

  4. “源 ”页上,使用下表中的信息上传监视列表数据,然后选择“ 下一步:查看 + 创建”。

    字段 说明
    源类型 Azure存储 (预览版)
    为数据集选择类型 具有标头 (.csv) 的 CSV 文件
    带标题的行前行数 输入数据文件中标题行前的行数。
    Blob SAS URL (Preview) 粘贴创建的共享访问 URL。
    SearchKey 在监视列表中输入要用作与其他数据或频繁搜索对象的联接的列的名称。 例如,如果服务器监视列表包含国家/地区名称及其各自的双字母国家/地区代码,并且你希望经常使用国家/地区代码进行搜索或联接,请使用 “代码” 列作为 SearchKey。

  5. 查看信息,验证它是否正确,然后选择“ 创建”。 创建监视列表后,将显示通知。

创建大型监视列表以及新数据在查询中可用可能需要一段时间。

手动创建监视列表 (预览)

从头开始创建监视列表:

  1. Defender 门户中,转到“Microsoft Sentinel>配置>监视列表”。

  2. 选择“ + 新建 ”以打开 “监视列表”向导

  3. 在“ 常规 ”页上,输入监视列表的名称、说明和别名,然后选择“ 下一步:源”。

  4. “源 ”页上,选择“ 手动 (预览) ”作为 “源类型”。

  5. 添加并定义监视列表的列名称。 选择用作 搜索键的列。 此键是监视列表中的列,你希望用作与其他数据或频繁搜索对象的联接。

    用于手动创建监视列表的选项的屏幕截图。

  6. 选择“ 下一步:查看 + 创建”。

  7. 查看信息,验证它是否正确,然后选择“ 创建”。 创建监视列表后,将显示通知。

创建监视列表和新数据在查询中可用可能需要几分钟时间。

注意

手动自动创建的监视列表包含使用默认值的单个条目。 可以根据需要更新此条目。 有关详细信息,请参阅 管理监视列表

查看监视列表状态

在工作区中查看监视列表的状态:

  1. Defender 门户中,转到“Microsoft Sentinel>配置>监视列表”。

  2. 在“ 我的监视列表 ”选项卡上,选择监视列表。

  3. 在详细信息页上,查看 状态 (预览)

    显示监视列表中状态的屏幕截图。

  4. 当状态为 “成功”时,选择“ 在日志中查看 ”,在查询中使用监视列表。 监视列表可能需要几分钟才能显示在 Log Analytics 中。

    监视列表页面的屏幕截图,其中突出显示了“在日志中查看”按钮。

下载监视列表模板 (预览)

从 Microsoft Sentinel 下载其中一个监视列表模板,以填充数据。 然后在 Microsoft Sentinel 中创建监视列表时上传该文件。

每个内置监视列表模板都有自己的数据集,这些数据列在附加到模板的 CSV 文件中。 有关详细信息,请参阅 内置监视列表架构

若要下载监视列表模板之一,请执行以下操作:

  1. Defender 门户中,转到“Microsoft Sentinel>配置>监视列表”。

  2. 选择选项卡 “模板” (“预览”)

  3. 从列表中选择一个模板,在右窗格中查看模板的详细信息。

  4. 选择行末尾的省略号 ...

  5. 选择“ 下载架构”。

    “监视列表模板”选项卡的屏幕截图,其中从上下文菜单中选择了“下载架构”选项。

  6. 填充文件的本地版本,并将其本地保存为 CSV 文件。

  7. 按照步骤 上传从模板创建的监视列表, (预览)

Log Analytics 视图中已删除和重新创建的监视列表

如果删除并重新创建监视列表,可能会在 5 分钟内在用于数据引入的 SLA 内在 Log Analytics 中看到已删除和重新创建的条目。 如果在 Log Analytics 中看到这些条目的时间较长,请提交支持票证。

相关内容

有关监视列表和Microsoft Sentinel的详细信息,请参阅:

  • Last updated on