إدارة قوائم المشاهدة في Microsoft Azure Sentinel

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

نوصي بتحرير قائمة مشاهدة موجودة بدلا من حذف قائمة مشاهدة وإعادة إنشائها. تحتوي تحليلات السجل على اتفاقية مستوى الخدمة لمدة خمس دقائق لاستيعاب البيانات. إذا قمت بحذف قائمة مشاهدة وإعادة إنشائها، فقد ترى الإدخالات المحذوفة والمعاد إنشاؤها في Log Analytics خلال هذه المدة التي تستغرق خمس دقائق. إذا رأيت هذه الإدخالات المكررة في Log Analytics لفترة أطول، فأرسل تذكرة دعم.

هام

يتوفر Microsoft Sentinel كجزء من المعاينة العامة للنظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

تحرير عنصر قائمة مشاهدة

تحرير قائمة مشاهدة لتحرير عنصر أو إضافته إلى قائمة المشاهدة.

  1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن Configuration، حدد Watchlist.
    بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد Microsoft Sentinel>Configuration>Watchlist.

  2. حدد قائمة المشاهدة التي تريد تحريرها.

  3. في جزء التفاصيل، حدد Update watchlist> تعديل عناصر قائمة المشاهدة .

    لقطة شاشة لخيار تحرير قائمة المشاهدة أسفل جزء التفاصيل.

  4. لتحرير عنصر قائمة مشاهدة موجود،

    1. حدد خانة الاختيار لعنصر قائمة المراقبة هذا.

    2. تحرير العنصر.

    3. حدد حفظ.

      لقطة شاشة توضح كيفية تحديد عنصر قائمة المشاهدة وتحريره.

    4. حدد Yes عند المطالبة بالتأكيد.

      لقطة شاشة للمطالبة بتأكيد تغييراتك.

  5. لإضافة عنصر جديد إلى قائمة المشاهدة،

    1. حدد إضافة جديد.

      لقطة شاشة للزر الجديد في أعلى صفحة تحرير عناصر قائمة المشاهدة.

    2. املأ حقول لوحة إضافة عنصر قائمة المشاهدة.

    3. في الجزء السفلي من تلك اللوحة، حدد Add.

التحديث المجمع لقائمة المشاهدة

عندما يكون لديك العديد من العناصر لإضافتها إلى قائمة المشاهدة، استخدم التحديث المجمع. يعمل التحديث المجمع لقائمة المراقبة على إلحاق العناصر بقائمة المشاهدة الموجودة. ثم يعمل على إلغاء تكرار العناصر الموجودة في قائمة المشاهدة حيث تتطابق جميع القيم في كل عمود.

إذا حذفت عنصراً من ملف قائمة المشاهدة وقمت بتحميله، فلن يؤدي التحديث المجمع إلى حذف العنصر في قائمة المشاهدة الموجودة. احذف عنصر قائمة المشاهدة بشكل فردي. أو، عندما يكون لديك الكثير من عمليات الحذف، احذف قائمة المشاهدة وأعد إنشائها.

يجب أن يحتوي ملف قائمة المشاهدة المحدث الذي تقوم بتحميله على حقل مفتاح البحث الذي تستخدمه قائمة المراقبة بدون قيم فارغة.

للتحديث المجمع لقائمة المشاهدة،

  1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن Configuration، حدد Watchlist.
    بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد Microsoft Sentinel>Configuration>Watchlist.

  2. حدد قائمة المشاهدة التي تريد تحريرها.

  3. في جزء التفاصيل، حدد Update watchlist>Bulk update.

    لقطة شاشة لخيار التحديث المجمع أسفل جزء التفاصيل.

  4. ضمن Upload file، قم بسحب الملف وإفلاته أو تصفحه لتحميله.

    لقطة شاشة لصفحة مصدر معالج قائمة المشاهدة حيث تحدد الملف المراد تحميله ويتم تعطيل حقل مفتاح البحث.

  5. إذا تلقيت رسالة خطأ، فحل المشكلة في الملف. ثم حدد Reset وحاول تحميل الملف مرة أخرى.

  6. حدد Next: Review and update>.

المحتوى ذو الصلة

راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel: