Hantera bevakningslistor i Microsoft Sentinel
Vi rekommenderar att du redigerar en befintlig bevakningslista i stället för att ta bort och återskapa en visningslista. Log Analytics har ett serviceavtal på fem minuter för datainmatning. Om du tar bort och återskapar en bevakningslista kan du se både borttagna och återskapade poster i Log Analytics under det här femminutersfönstret. Om du ser de här duplicerade posterna i Log Analytics under en längre tidsperiod skickar du ett supportärende.
Viktigt!
Microsoft Sentinel är tillgängligt som en del av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Microsoft Sentinel i Defender-portalen stöds nu för produktionsanvändning. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Redigera ett visningslistobjekt
Redigera en visningslista för att redigera eller lägga till ett objekt i visningslistan.
För Microsoft Sentinel i Azure-portalen går du till Konfiguration och väljer Bevakningslista.
För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel Configuration>>Watchlist.Välj den visningslista som du vill redigera.
I informationsfönstret väljer du Uppdatera visningslista>Redigera visningslisteobjekt.
Redigera ett befintligt visningslistobjekt genom att
Markera kryssrutan för det visningslistobjektet.
Redigera objektet.
Välj Spara.
Välj Ja i bekräftelsemeddelandet.
Om du vill lägga till ett nytt objekt i visningslistan
Välj Lägg till.
Fyll i fälten i panelen Lägg till visningslista .
Välj Lägg till längst ned i panelen.
Massuppdatering av en visningslista
När du har många objekt att lägga till i en visningslista använder du massuppdatering. En massuppdatering av en visningslista lägger till objekt i den befintliga bevakningslistan. Sedan avduplicerar den objekten i visningslistan där alla värden i varje kolumn matchar.
Om du har tagit bort ett objekt från bevakningslistfilen och laddat upp det kommer massuppdateringen inte att ta bort objektet i den befintliga visningslistan. Ta bort visningslisteobjektet individuellt. Eller när du har många borttagningar tar du bort och återskapar visningslistan.
Den uppdaterade visningslistfilen som du laddar upp måste innehålla söknyckelfältet som används av visningslistan utan tomma värden.
Massuppdatering av en visningslista
För Microsoft Sentinel i Azure-portalen går du till Konfiguration och väljer Bevakningslista.
För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel Configuration>>Watchlist.Välj den visningslista som du vill redigera.
I informationsfönstret väljer du Uppdatera visningslista>Massuppdatering.
Under Ladda upp fil drar och släpper du eller bläddrar till filen som ska laddas upp.
Åtgärda problemet i filen om du får ett fel. Välj sedan Återställ och försök ladda upp filen igen.
Välj Nästa: Granska och uppdatera>uppdatering.
Relaterat innehåll
Mer information om Microsoft Sentinel finns i följande artiklar:
- Använda visningslistor i Microsoft Sentinel
- Lär dig hur du får insyn i dina data och potentiella hot.
- Kom igång med att identifiera hot med Microsoft Sentinel.
- Använd arbetsböcker för att övervaka dina data.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för