Zarządzanie listami do obejrzenia w usłudze Microsoft Sentinel

• Dotyczy:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Zalecamy edytowanie istniejącej listy obserwowanych zamiast usuwania i ponownego tworzenia listy obserwowanych. Usługa Log Analytics ma umowę SLA z pięciominutową umową SLA na potrzeby pozyskiwania danych. Jeśli usuniesz i ponownie utworzysz listę obserwowanych, w tym pięciominutowym oknie będą widoczne zarówno usunięte, jak i ponownie utworzone wpisy w usłudze Log Analytics. Jeśli te zduplikowane wpisy w usłudze Log Analytics będą widoczne przez dłuższy czas, prześlij bilet pomocy technicznej.

Ważne

Usługa Microsoft Sentinel jest teraz ogólnie dostępna na platformie Ujednolicone operacje zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Edytowanie elementu listy obserwowanych

Edytuj listę obserwowanych, aby edytować lub dodać element do listy obserwowanych.

1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Konfiguracja wybierz pozycję Lista obserwowana.
   W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Lista obserwowanych konfiguracji>usługi Microsoft Sentinel.>

2. Wybierz listę obserwowanych, którą chcesz edytować.

3. W okienku szczegółów wybierz pozycję Aktualizuj listę>obserwowanych Edytuj elementy listy obserwowanych.

   

4. Aby edytować istniejący element listy obserwowanych,

   1. Zaznacz pole wyboru tego elementu listy obserwowanych.

   2. Edytuj element.

   3. Wybierz pozycję Zapisz.

      

   4. Wybierz pozycję Tak po wyświetleniu monitu o potwierdzenie.

      

5. Aby dodać nowy element do listy obserwowanych,

   1. Wybierz Dodaj nowy.

      

   2. Wypełnij pola panelu Dodawanie elementu listy do obejrzenia.

   3. W dolnej części tego panelu wybierz pozycję Dodaj.

Zbiorcze aktualizowanie listy obserwowanych

Jeśli masz wiele elementów do dodania do listy obserwowanych, użyj aktualizacji zbiorczej. Zbiorcza aktualizacja listy obserwowanych dołącza elementy do istniejącej listy obserwowanych. Następnie usuwa duplikaty elementów na liście obserwowanych, gdzie wszystkie wartości w każdej kolumnie są zgodne.

Jeśli element został usunięty z pliku listy obserwowanych i przekazany, aktualizacja zbiorcza nie usunie elementu z istniejącej listy obserwowanych. Usuń element listy obserwowanych indywidualnie. Lub, gdy masz wiele operacji usuwania, usuń i ponownie utwórz listę do obejrzenia.

Zaktualizowany przekazany plik listy obserwowanych musi zawierać pole klucza wyszukiwania używane przez listę obserwowanych bez pustych wartości.

Aby zbiorczo zaktualizować listę obserwowanych,

1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Konfiguracja wybierz pozycję Lista obserwowana.
   W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Lista obserwowanych konfiguracji>usługi Microsoft Sentinel.>

2. Wybierz listę obserwowanych, którą chcesz edytować.

3. W okienku szczegółów wybierz pozycję Aktualizuj aktualizację zbiorczą listy obserwowanych>.

   

4. W obszarze Przekaż plik przeciągnij i upuść lub przejdź do pliku, aby go przekazać.

   

5. Jeśli wystąpi błąd, rozwiąż problem w pliku. Następnie wybierz pozycję Resetuj i spróbuj ponownie przekazać plik.

6. Wybierz pozycję Dalej: Przejrzyj i zaktualizuj aktualizację>.

Powiązana zawartość

Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:

• Korzystanie z list obserwowanych w usłudze Microsoft Sentinel
• Dowiedz się, jak uzyskać wgląd w dane i potencjalne zagrożenia.
• Rozpocznij wykrywanie zagrożeń za pomocą usługi Microsoft Sentinel.
• Monitorowanie danych za pomocą skoroszytów .