Créer une liste de surveillance

  • 4 minutes

Pour créer une watchlist dans le portail Azure, suivez ces étapes :

  1. Accédez à Microsoft Sentinel > Configuration > Watchlist, puis sélectionnez Ajouter nouveau.

    Screen shot of creating a Sentinel Watchlist List.

  2. Dans la page Général, indiquez le nom, la description et l’alias de la Watchlist, puis sélectionnez Suivant.

  3. Dans la page Source, sélectionnez le type de jeu de données, chargez un fichier, puis sélectionnez Suivant.

    Notes

    Les chargements de fichiers sont actuellement limités à des fichiers d’une taille maximale de 3,8 Mo.

  4. Ensuite, examinez les informations, vérifiez qu’elles sont correctes, puis sélectionnez Créer. Une notification s’affiche une fois que la watchlist est créée.

Pour utiliser les données d’une watchlist dans KQL, utilisez la fonction KQL _GetWatchlist ('Watchlist Name').

_GetWatchlist('HighValueMachines')