Verwalten von Watchlists

  • 3 Minuten

Es wird empfohlen, eine vorhandene Watchlist zu bearbeiten, anstatt eine Watchlist zu löschen und neu zu erstellen. Log Analytics verfügt über eine SLA von fünf Minuten für die Datenerfassung. Wenn Sie eine Watchlist löschen und neu erstellen, werden in diesem fünfminütigen Fenster möglicherweise sowohl die gelöschten als auch die neu erstellten Einträge in Log Analytics angezeigt. Wenn diese doppelten Einträge für einen längeren Zeitraum in Log Analytics angezeigt werden, übermitteln Sie ein Supportticket.

Bearbeiten eines Watchlist-Elements

Bearbeiten Sie eine Watchlist, um ein Element zu bearbeiten oder der Watchlist hinzuzufügen.

  1. Wechseln Sie im Azure-Portal zu Microsoft Sentinel, und wählen Sie den entsprechenden Arbeitsbereich aus.

  2. Klicken Sie unter „Konfiguration“ auf Watchlist.

  3. Wählen Sie die Watchlist aus, die Sie bearbeiten möchten.

  4. Klicken Sie im Detailbereich auf Watchlist aktualisieren > Watchlist-Elemente bearbeiten.

  5. So bearbeiten Sie ein vorhandenes Watchlistelement

    1. Aktivieren Sie das Kontrollkästchen dieses Watchlistelements.

    2. Bearbeiten Sie das Element.

    3. Wählen Sie „Speichern“ aus.

    4. Wählen Sie bei der Aufforderung zur Bestätigung Ja aus.

  6. So fügen Sie Ihrer Watchlist ein neues Element hinzu

    1. Wählen Sie Neue hinzufügen aus.

    2. Füllen Sie die Felder im Bereich Watchlistelement hinzufügen aus.

    3. Wählen Sie unten im Bereich Hinzufügen aus.

Massenaktualisierung einer Watchlist

Wenn Sie einer Watchlist viele Elemente hinzufügen müssen, verwenden Sie die Massenaktualisierung. Bei einer Massenaktualisierung einer Watchlist werden Elemente an die vorhandene Watchlist angefügt. Anschließend werden die Elemente in der Watchlist dedupliziert, bei denen alle Werte in jeder Spalte übereinstimmen.

Wenn Sie ein Element aus Ihrer Watchlist-Datei gelöscht und hochgeladen haben, wird das Element in der vorhandenen Watchlist nicht durch die Massenaktualisierung gelöscht. Löschen Sie das Watchlist-Element einzeln. Wenn viele Löschvorgänge durchzuführen sind, löschen Sie die Watchlist, und erstellen Sie sie neu.

Die aktualisierte Watchlist-Datei, die Sie hochladen, muss das Suchschlüsselfeld enthalten, das von der Watchlist ohne leere Werte verwendet wird.

So führen Sie die Massenaktualisierung für eine Watchlist durch:

  1. Wechseln Sie im Azure-Portal zu Microsoft Sentinel, und wählen Sie den entsprechenden Arbeitsbereich aus.

  2. Klicken Sie unter „Konfiguration“ auf Watchlist.

  3. Wählen Sie die Watchlist aus, die Sie bearbeiten möchten.

  4. Klicken Sie im Detailbereich auf Watchlist aktualisieren > Massenaktualisierung.

  5. Ziehen Sie unter Datei hochladen die hochzuladende Datei per Drag & Drop oder suchen Sie nach ihr.

  6. Wenn sie einen Fehler erhalten, beheben Sie das Problem in der Datei. Wählen Sie dann Zurücksetzen aus, und wiederholen Sie den Dateiupload.

  7. Klicken Sie auf Weiter: Überprüfen und aktualisieren > Aktualisieren.