Gestire le watchlist

  • 3 minuti

Anziché eliminare e ricreare un watchlist, è consigliabile modificare un watchlist esistente. Il contratto di servizio di Log Analytics prevede cinque minuti per l'inserimento dati. Se si elimina e ricrea un watchlist, in questi cinque minuti è possibile visualizzare sia le voci eliminate che quelle ricreate in Log Analytics. Se queste voci duplicate vengono visualizzate in Log Analytics per un periodo di tempo più lungo, creare un ticket di supporto.

Modificare un elemento della watchlist

Per modificare o aggiungere un elemento alla watchlist, è necessario modificare una watchlist.

  1. Nel portale di Azure passare a Microsoft Sentinel e selezionare l'area di lavoro appropriata.

  2. In Configurazione selezionare Watchlist.

  3. Selezionare la watchlist da modificare.

  4. Nel riquadro dei dettagli selezionare Update watchlist > (Aggiorna watchlist) Modifica elementi della watchlist.

  5. Per modificare un elemento della watchlist esistente:

    1. Selezionare la casella di controllo in corrispondenza dell'elemento della watchlist.

    2. Modificare l'elemento.

    3. Seleziona Salva.

    4. Selezionare Sì al prompt di conferma.

  6. Per aggiungere un nuovo elemento alla watchlist:

    1. Seleziona Aggiungi nuovo.

    2. Compilare i campi nel pannello Aggiungi elemento della watchlist.

    3. Nella parte inferiore del pannello selezionare Aggiungi.

Aggiornare in blocco una watchlist

Quando sono molti gli elementi da aggiungere a una watchlist, usare l'aggiornamento in blocco. Un aggiornamento in blocco di una watchlist aggiunge gli elementi alla watchlist esistente. Quindi, deduplica gli elementi nella watchlist in cui tutti i valori di ogni colonna corrispondono.

Se un elemento è stato eliminato dal file della watchlist e lo si carica, l'aggiornamento in blocco non lo eliminerà nella watchlist esistente. Eliminare l'elemento della watchlist singolarmente. In alternativa, quando le eliminazioni sono numerose, eliminare e ricreare la watchlist.

Il file aggiornato e caricato della watchlist deve contenere il campo della chiave di ricerca usato dalla watchlist senza valori vuoti.

Per aggiornare in blocco una watchlist:

  1. Nel portale di Azure passare a Microsoft Sentinel e selezionare l'area di lavoro appropriata.

  2. In Configurazione selezionare Watchlist.

  3. Selezionare la watchlist da modificare.

  4. Nel riquadro dei dettagli selezionare Update watchlist> (Aggiorna watchlist) Aggiornamento in blocco.

  5. In Carica file trascinare e rilasciare il file o cercare il file da caricare.

  6. Se viene visualizzato un errore, correggere il problema nel file. Selezionare quindi Reimposta e riprovare a caricare il file.

  7. Selezionare Avanti: Rivedi e aggiorna > Aggiorna.