Creare un watchlist

Per creare una watchlist dal portale di Azure seguire questa procedura:

Passare a Microsoft Sentinel > Configurazione > Watchlist e selezionare Aggiungi nuovo.
Nella pagina Generale specificare il nome, la descrizione e l'alias del watchlist, quindi selezionare Avanti.
Nella pagina Origine selezionare il tipo di set di dati, caricare un file e quindi selezionare Avanti.

Nota

I caricamenti di file sono attualmente limitati a file con dimensioni massime di 3,8 MB.
Esaminare le informazioni, verificare che siano corrette, quindi selezionare Crea. Quando il watchlist è pronto, viene visualizzata una notifica.

Per usare i dati del watchlist in KQL, usare la funzione KQL _GetWatchlist ('nome watchlist').

_GetWatchlist('HighValueMachines')

Commenti e suggerimenti