Condividi tramite

Gestire le watchlist in Microsoft Sentinel

  • Si applica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Anziché eliminare e ricreare un watchlist, è consigliabile modificare un watchlist esistente. Il contratto di servizio di Log Analytics prevede cinque minuti per l'inserimento dati. Se si elimina e ricrea un watchlist, in questi cinque minuti è possibile visualizzare sia le voci eliminate che quelle ricreate in Log Analytics. Se queste voci duplicate vengono visualizzate in Log Analytics per un periodo di tempo più lungo, creare un ticket di supporto.

Importante

Microsoft Sentinel è disponibile a livello generale nel portale di Microsoft Defender, incluso per i clienti senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Modificare un elemento della watchlist

Per modificare o aggiungere un elemento alla watchlist, è necessario modificare una watchlist.

  1. Per Microsoft Sentinel nel portale di Defender, selezionare Microsoft Sentinel>Configurazione>Elenco di controllo. Per Microsoft Sentinel nel portale di Azure, in Configurazione selezionare Watchlist.

  2. Selezionare la watchlist da modificare.

  3. Nel riquadro dei dettagli selezionare Aggiorna watchlist>Modifica elementi watchlist.

    Screenshot dell'opzione per modificare la watchlist situata nella parte inferiore del riquadro dei dettagli.

  4. Per modificare un elemento della watchlist esistente:

    1. Selezionare la casella di controllo in corrispondenza dell'elemento della watchlist.

    2. Modificare l'elemento.

    3. Selezionare Salva.

      Screenshot che illustra come contrassegnare e modificare un elemento della lista di controllo.

    4. Selezionare al prompt di conferma.

      Screenshot della richiesta di conferma delle modifiche.

  5. Per aggiungere un nuovo elemento alla watchlist:

    1. Selezionare Aggiungi nuovo.

      Screenshot del nuovo pulsante in cima alla pagina di modifica degli elementi della lista di controllo.

    2. Compilare i campi del pannello Aggiungi elemento alla lista di controllo.

    3. Nella parte inferiore del pannello selezionare Aggiungi.

Aggiornare in blocco una watchlist

Quando sono molti gli elementi da aggiungere a una watchlist, usare l'aggiornamento in blocco. Un aggiornamento in blocco di una watchlist aggiunge gli elementi alla watchlist esistente. Quindi, deduplica gli elementi nella watchlist in cui tutti i valori di ogni colonna corrispondono.

Se un elemento è stato eliminato dal file della watchlist e lo si carica, l'aggiornamento in blocco non lo eliminerà nella watchlist esistente. Eliminare l'elemento della watchlist singolarmente. In alternativa, quando si dispone di molte eliminazioni, eliminare e ricreare l'elenco di controllo.

Il file aggiornato e caricato della watchlist deve contenere il campo della chiave di ricerca usato dalla watchlist senza valori vuoti.

Per aggiornare in blocco una watchlist:

  1. Per Microsoft Sentinel nel portale di Azure, in Configurazione selezionare Watchlist.
    Per Microsoft Sentinel nel portale di Defender, selezionare Microsoft Sentinel>Configurazione>Elenco di controllo.

  2. Selezionare la watchlist da modificare.

  3. Nel riquadro dei dettagli selezionare Aggiorna watchlist>Aggiornamento in blocco.

    Screenshot dell'opzione di aggiornamento in blocco nella parte inferiore del riquadro dei dettagli.

  4. In Carica file, trascinare e rilasciare o selezionare il file da caricare.

    Screenshot della pagina di origine della procedura guidata watchlist in cui si seleziona il file da caricare e il campo della chiave di ricerca è disabilitato.

  5. Se viene visualizzato un errore, correggere il problema nel file. Selezionare quindi Reimposta e riprovare a caricare il file.

  6. Selezionare Avanti: Rivedere e aggiornare>Aggiorna.

Contenuto correlato

Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti: