Administración de listas de reproducción en Microsoft Sentinel

• Se aplica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Se recomienda editar una lista de reproducción existente en lugar de eliminarla y volver a crearla. Log Analytics tiene un Acuerdo de Nivel de Servicio de cinco minutos para la ingesta de datos. Si elimina y vuelve a crear una lista de reproducción, es posible que vea las entradas que se han eliminado y vuelto a crear en Log Analytics durante estos cinco minutos. Si ve estas entradas duplicadas en Log Analytics durante un período de tiempo más prolongado, envíe una incidencia de soporte técnico.

Importante

Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Edición de un elemento de lista de reproducción

Edite una lista de reproducción para editar o agregar un elemento a la lista de reproducción.

1. Para Microsoft Sentinel en Azure portal, en Configuración, seleccione Lista de control.
   Para Microsoft Sentinel en el Portal de Defender, seleccione Microsoft Sentinel>Configuración>Lista de control.

2. Seleccione la lista de reproducción que desea editar.

3. En el panel de detalles, seleccione Actualizar lista de reproducción>Editar elementos de la lista de reproducción.

   

4. Para editar un elemento de lista de reproducción existente:

   1. Active la casilla de ese elemento de la lista de reproducción.

   2. Edite el elemento.

   3. Seleccione Guardar.

      

   4. Seleccione Sí en el mensaje de confirmación.

      

5. Para agregar un nuevo elemento a la lista de reproducción:

   1. Seleccione Agregar nuevo.

      

   2. Rellene los campos del panel Agregar elemento de la lista de control.

   3. En la parte inferior de ese panel, seleccione Agregar.

Actualización masiva de una lista de reproducción

Cuando tenga muchos elementos para agregar a una lista de reproducción, use la actualización masiva. Una actualización masiva de una lista de reproducción anexa elementos a la lista de reproducción existente. A continuación, desduplica los elementos de la lista de reproducción donde coinciden todos los valores de cada columna.

Si ha eliminado un elemento del archivo de la lista de reproducción y lo ha cargado, la actualización masiva no eliminará el elemento de la lista de reproducción existente. Elimine el elemento de la lista de reproducción individualmente. O bien, cuando tenga muchas eliminaciones, elimine y vuelva a crear la lista de reproducción.

El archivo de lista de reproducción actualizado que cargue debe contener el campo de clave de búsqueda utilizado por la lista de reproducción sin valores en blanco.

Para realizar la actualización masiva de una lista de reproducción:

1. Para Microsoft Sentinel en Azure portal, en Configuración, seleccione Lista de control.
   Para Microsoft Sentinel en el Portal de Defender, seleccione Microsoft Sentinel>Configuración>Lista de control.

2. Seleccione la lista de reproducción que desea editar.

3. En el panel de detalles, seleccione Actualizar lista de reproducción>Actualización masiva.

   

4. En Cargar archivo, arrastre y coloque o busque el archivo que se cargará.

   

5. Si recibe un error, corrija el problema en el archivo. A continuación, seleccione Restablecer e intente de nuevo la carga de archivos.

6. Seleccione Siguiente: Revisar y actualizar>Actualizar.

Contenido relacionado

Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos:

• Uso de listas de reproducción en Microsoft Sentinel
• Aprenda a obtener visibilidad de los datos y de posibles amenazas.
• Empiece a detectar amenazas con Microsoft Sentinel.
• Use libros para supervisar los datos.