Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Anziché eliminare e ricreare un watchlist, è consigliabile modificare un watchlist esistente. Il contratto di servizio di Log Analytics prevede cinque minuti per l'inserimento dati. Se si elimina e ricrea un watchlist, in questi cinque minuti è possibile visualizzare sia le voci eliminate che quelle ricreate in Log Analytics. Se queste voci duplicate vengono visualizzate in Log Analytics per un periodo di tempo più lungo, creare un ticket di supporto.
Importante
Microsoft Sentinel è disponibile a livello generale nel portale di Microsoft Defender, incluso per i clienti senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Modificare un elemento della watchlist
Per modificare o aggiungere un elemento alla watchlist, è necessario modificare una watchlist.
Per Microsoft Sentinel nel portale di Defender, selezionare Microsoft Sentinel>Configurazione>Elenco di controllo. Per Microsoft Sentinel nel portale di Azure, in Configurazione selezionare Watchlist.
Selezionare la watchlist da modificare.
Nel riquadro dei dettagli selezionare Aggiorna watchlist>Modifica elementi watchlist.
Per modificare un elemento della watchlist esistente:
Selezionare la casella di controllo in corrispondenza dell'elemento della watchlist.
Modificare l'elemento.
Selezionare Salva.
Selezionare Sì al prompt di conferma.
Per aggiungere un nuovo elemento alla watchlist:
Selezionare Aggiungi nuovo.
Compilare i campi del pannello Aggiungi elemento alla lista di controllo.
Nella parte inferiore del pannello selezionare Aggiungi.
Aggiornare in blocco una watchlist
Quando sono molti gli elementi da aggiungere a una watchlist, usare l'aggiornamento in blocco. Un aggiornamento in blocco di una watchlist aggiunge gli elementi alla watchlist esistente. Quindi, deduplica gli elementi nella watchlist in cui tutti i valori di ogni colonna corrispondono.
Se un elemento è stato eliminato dal file della watchlist e lo si carica, l'aggiornamento in blocco non lo eliminerà nella watchlist esistente. Eliminare l'elemento della watchlist singolarmente. In alternativa, quando si dispone di molte eliminazioni, eliminare e ricreare l'elenco di controllo.
Il file aggiornato e caricato della watchlist deve contenere il campo della chiave di ricerca usato dalla watchlist senza valori vuoti.
Per aggiornare in blocco una watchlist:
Per Microsoft Sentinel nel portale di Azure, in Configurazione selezionare Watchlist.
Per Microsoft Sentinel nel portale di Defender, selezionare Microsoft Sentinel>Configurazione>Elenco di controllo.Selezionare la watchlist da modificare.
Nel riquadro dei dettagli selezionare Aggiorna watchlist>Aggiornamento in blocco.
In Carica file, trascinare e rilasciare o selezionare il file da caricare.
Se viene visualizzato un errore, correggere il problema nel file. Selezionare quindi Reimposta e riprovare a caricare il file.
Selezionare Avanti: Rivedere e aggiornare>Aggiorna.
Contenuto correlato
Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:
- Usare elenchi di controllo in Microsoft Sentinel
- Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
- Introduzione al rilevamento delle minacce con Microsoft Sentinel.
- Usare le cartelle di lavoro per monitorare i dati.