Hantera visningslistor i Microsoft Sentinel

  • Artikel
  • 2 minuter för att läsa

Vi rekommenderar att du redigerar en befintlig visningslista i stället för att ta bort och återskapa en visningslista. Log Analytics har ett serviceavtal på fem minuter för datainmatning. Om du tar bort och återskapar en visningslista kan du se både de borttagna och återskapade posterna i Log Analytics under det här femminutersfönstret. Om du ser de här dubblettposterna i Log Analytics under en längre tid skickar du en supportbegäran.

Redigera ett objekt i visningslistan

Redigera en visningslista om du vill redigera eller lägga till ett objekt i visningslistan.

  1. I Azure Portal går du till Microsoft Sentinel och väljer lämplig arbetsyta.

  2. Under Konfiguration väljer du Visningslista.

  3. Välj den visningslista som du vill redigera.

  4. I informationsfönstret väljer du Uppdatera visningslistaRedigera>objekt i visningslistan.

    Screenshot of the edit watchlist option at the bottom of the details pane.

  5. Om du vill redigera ett befintligt visningslisteobjekt,

    1. Markera kryssrutan för det visningslisteobjektet.

    2. Redigera objektet.

    3. Välj Spara.

      Screenshot showing how to mark and edit a watchlist item.

    4. Välj Ja i bekräftelsemeddelandet.

      Screenshot of the prompt to confirm your changes.

  6. Om du vill lägga till ett nytt objekt i visningslistan

    1. Välj Lägg till ny.

      Screenshot of the add new button at the top of the edit watchlist items page.

    2. Fyll i fälten på panelen Lägg till visningslista .

    3. Välj Lägg till längst ned på panelen.

Massuppdatering av en visningslista

När du har många objekt att lägga till i en visningslista använder du massuppdatering. En massuppdatering av en visningslista lägger till objekt i den befintliga visningslistan. Sedan avdupliceras objekten i visningslistan där alla värden i varje kolumn matchar.

Om du har tagit bort ett objekt från din visningslista och laddat upp det, kommer massuppdateringen inte att ta bort objektet i den befintliga visningslistan. Ta bort visningslisteobjektet individuellt. Eller när du har många borttagningar kan du ta bort och återskapa visningslistan.

Den uppdaterade visningslistfilen som du laddar upp måste innehålla söknyckelfältet som används av visningslistan utan tomma värden.

Om du vill massuppdata en visningslista,

  1. I Azure Portal går du till Microsoft Sentinel och väljer lämplig arbetsyta.

  2. Under Konfiguration väljer du Visningslista.

  3. Välj den visningslista som du vill redigera.

  4. I informationsfönstret väljer du Uppdatera visningslistaBulkuppdatering>.

    Screenshot of the bulk update option on the bottom of the details pane.

  5. Under Upload fil drar du och släpper eller bläddrar till filen som ska laddas upp.

    Screenshot of the watchlist wizard source page where you select the file to upload and the search key field is disabled.

  6. Åtgärda problemet i filen om du får ett fel. Välj sedan Återställ och försök ladda upp filen igen.

  7. Välj Nästa: Granska och uppdateraUppdatering>.

Nästa steg

Mer information om Microsoft Sentinel finns i följande artiklar: