Erstellen einer Watchlist

  • 4 Minuten

Führen Sie folgende Schritte aus, um eine Watchlist vom Azure-Portal aus zu erstellen:

  1. Wechseln Sie zu Microsoft Sentinel > Konfiguration > Watchlist, und klicken Sie auf Neu hinzufügen.

    Screen shot of creating a Sentinel Watchlist List.

  2. Geben Sie auf der Seite „Allgemein“ den Namen, die Beschreibung und den Alias für die Watchlist an, und klicken Sie auf Weiter.

  3. Wählen Sie auf der Seite „Quelle“ den Datasettyp aus, laden Sie eine Datei hoch, und klicken Sie dann auf Weiter.

    Hinweis

    Dateiuploads sind aktuell auf Dateien mit einer Größe von bis zu 3,8 MB beschränkt.

  4. Prüfen Sie anschließend, ob die Informationen korrekt sind, und wählen Sie dann Erstellen. Sobald die Watchlist erstellt wurde, wird eine Benachrichtigung angezeigt.

Verwenden Sie die KQL-Funktion „_GetWatchlist('Name der Watchlist')“, um die Watchlistdaten in KQL zu nutzen.

_GetWatchlist('HighValueMachines')