Dela via

Hantera bevakningslistor i Microsoft Sentinel

  • Artikel
  • Gäller för: Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Vi rekommenderar att du redigerar en befintlig bevakningslista i stället för att ta bort och återskapa en visningslista. Log Analytics har ett serviceavtal på fem minuter för datainmatning. Om du tar bort och återskapar en bevakningslista kan du se både borttagna och återskapade poster i Log Analytics under det här femminutersfönstret. Om du ser de här duplicerade posterna i Log Analytics under en längre tidsperiod skickar du ett supportärende.

Viktigt!

Microsoft Sentinel är allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Redigera ett visningslistobjekt

Redigera en visningslista för att redigera eller lägga till ett objekt i visningslistan.

  1. För Microsoft Sentinel i Azure Portal går du till Konfiguration och väljer Bevakningslista.
    För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel Configuration>>Watchlist.

  2. Välj den visningslista som du vill redigera.

  3. I informationsfönstret väljer du Uppdatera visningslista>Redigera visningslisteobjekt.

    Skärmbild av alternativet redigera visningslista längst ned i informationsfönstret.

  4. Redigera ett befintligt visningslistobjekt genom att

    1. Markera kryssrutan för det visningslistobjektet.

    2. Redigera objektet.

    3. Välj Spara.

      Skärmbild som visar hur du markerar och redigerar ett visningslistobjekt.

    4. Välj Ja i bekräftelsemeddelandet.

      Skärmbild av uppmaningen för att bekräfta dina ändringar.

  5. Om du vill lägga till ett nytt objekt i visningslistan

    1. Välj Lägg till.

      Skärmbild av den nya knappen överst på sidan redigera visningslisteobjekt.

    2. Fyll i fälten i panelen Lägg till visningslista .

    3. Välj Lägg till längst ned i panelen.

Massuppdatering av en visningslista

När du har många objekt att lägga till i en visningslista använder du massuppdatering. En massuppdatering av en visningslista lägger till objekt i den befintliga bevakningslistan. Sedan avduplicerar den objekten i visningslistan där alla värden i varje kolumn matchar.

Om du har tagit bort ett objekt från bevakningslistfilen och laddat upp det kommer massuppdateringen inte att ta bort objektet i den befintliga visningslistan. Ta bort visningslisteobjektet individuellt. Eller när du har många borttagningar tar du bort och återskapar visningslistan.

Den uppdaterade visningslistfilen som du laddar upp måste innehålla söknyckelfältet som används av visningslistan utan tomma värden.

Massuppdatering av en visningslista

  1. För Microsoft Sentinel i Azure Portal går du till Konfiguration och väljer Bevakningslista.
    För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel Configuration>>Watchlist.

  2. Välj den visningslista som du vill redigera.

  3. I informationsfönstret väljer du Uppdatera visningslista>Massuppdatering.

    Skärmbild av alternativet massuppdatering längst ned i informationsfönstret.

  4. Under Ladda upp fil drar och släpper du eller bläddrar till filen som ska laddas upp.

    Skärmbild av källsidan för visningslisteguiden där du väljer den fil som ska laddas upp och söknyckelfältet är inaktiverat.

  5. Åtgärda problemet i filen om du får ett fel. Välj sedan Återställ och försök ladda upp filen igen.

  6. Välj Nästa: Granska och uppdatera>uppdatering.

Relaterat innehåll

Mer information om Microsoft Sentinel finns i följande artiklar: