Gérer des listes Watchlist

  • 3 minutes

Nous vous recommandons de modifier une watchlist existante au lieu de la supprimer et d’en recréer une. Log Analytics a un contrat SLA de cinq minutes pour l’ingestion des données. Si vous supprimez et recréez une watchlist, vous pouvez voir les entrées supprimées et recréées dans Log Analytics pendant cette fenêtre de cinq minutes. Si vous voyez ces entrées en double dans Log Analytics pendant plus longtemps, envoyez un ticket de support.

Modifier un élément de watchlist

Modifiez une watchlist pour y modifier ou y ajouter un élément.

  1. Dans le portail Azure, accédez à Microsoft Sentinel et sélectionnez l’espace de travail approprié.

  2. Sous Configuration, sélectionnez Watchlist.

  3. Sélectionnez la watchlist à modifier.

  4. Dans le volet d’informations, sélectionnez Mettre à jour une watchlist > Mettre à jour les éléments de la watchlist.

  5. Pour modifier un élément de watchlist existant,

    1. Cochez la case de cet élément de watchlist.

    2. Modifiez l’élément.

    3. Sélectionnez Enregistrer.

    4. Cliquez sur Oui à l’invite de confirmation.

  6. Pour ajouter un nouvel élément à votre watchlist,

    1. Sélectionnez Ajouter.

    2. Renseignez les champs dans le panneau Ajouter un élément de watchlist.

    3. En bas du panneau, sélectionnez Ajouter.

Mettre à jour une watchlist en bloc

Lorsque vous avez un grand nombre d’éléments à ajouter à une watchlist, utilisez la mise à jour en bloc. La mise à jour en bloc d’une watchlist ajoute des éléments à la watchlist existante. Elle annule ensuite la duplication des éléments dans la watchlist où toutes les valeurs dans chaque colonne correspondent.

Si vous avez supprimé un élément du fichier de votre watchlist et que vous l’avez chargé, la mise à jour en bloc ne supprimera pas l’élément dans la watchlist existante. Supprimer l’élément de watchlist individuellement. Ou, si vous avez de nombreuses suppressions à appliquer, supprimez et recréez la watchlist.

Le fichier de watchlist mis à jour que vous chargez doit contenir le champ de clé de recherche utilisé par la watchlist sans aucune valeur vide.

Pour mettre à jour une watchlist en bloc,

  1. Dans le portail Azure, accédez à Microsoft Sentinel et sélectionnez l’espace de travail approprié.

  2. Sous Configuration, sélectionnez Watchlist.

  3. Sélectionnez la watchlist à modifier.

  4. Dans le volet d’informations, sélectionnez Mettre à jour une watchlist > Mise à jour en bloc.

  5. Sous Charger le fichier, glissez-déplacez le fichier à charger ou accédez-y.

  6. Si vous recevez une erreur, corrigez le problème dans le fichier. Sélectionnez ensuite Réinitialiser, puis réessayez de charger le fichier.

  7. Sélectionnez Suivant : Vérifier et mettre à jour > Mettre à jour.