你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 Microsoft Sentinel 中管理播放列表

  • 项目
  • 适用于:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

我们建议你编辑现有的播放列表,而不是删除并重新创建播放列表。 对于数据引入,日志分析具有五分钟的 SLA。 如果删除并重新创建监视列表,你可能会在该五分钟时间内看到 Log Analytics 中已删除和重新创建的条目。 如果你长时间在 Log Analytics 中看到这些相同条目,请提交支持票证。

重要

Microsoft Sentinel 作为 Microsoft Defender 门户中统一安全运营平台的公共预览版的一部分提供。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel

编辑播放列表项

编辑监视列表,以编辑项目或将项目添加到监视列表。

  1. 对于 Azure 门户中的 Microsoft Sentinel,在“配置”下选择“监视列表”。
    对于 Defender 门户中的 Microsoft Sentinel,请选择“Microsoft Sentinel”>“配置”>“监视列表”。

  2. 选择要编辑的监视列表。

  3. 在详细信息窗格中,选择“更新播放列表”>“编辑播放列表项”。

    屏幕截图显示详细信息窗格底部的“编辑监视列表项”选项。

  4. 若要编辑现有的播放列表项,

    1. 请选中该监视列表项的复选框。

    2. 编辑项。

    3. 选择“保存”。

      屏幕截图显示如何标记和编辑监视列表项。

    4. 在出现确认提示时单击“是”。

      屏幕截图显示用于确认所做更改的提示。

  5. 若要将新项添加到播放列表,

    1. 选择“添加新订阅”。

      “编辑监视列表项”页面顶部的“新建”按钮的屏幕截图。

    2. 填写“添加监视列表项”面板的字段。

    3. 在面板底部选择“添加”。

批量更新播放列表

如果要添加到播放列表的项很多,请使用批量更新。 批量更新播放列表会将项追加到现有播放列表。 然后,它会对播放列表中的项进行重复数据删除,其中每个列中的所有值都匹配。

如果已从播放列表文件中删除某个项并将其上传,则批量更新将不会删除现有播放列表中的项。 单独删除播放列表项。 或者,如果删除很多项,请删除播放列表并重新创建。

上传的更新播放列表文件必须包含播放列表使用的搜索关键字字段,而不包含空值。

若要批量更新播放列表,

  1. 对于 Azure 门户中的 Microsoft Sentinel,在“配置”下选择“监视列表”。
    对于 Defender 门户中的 Microsoft Sentinel,请选择“Microsoft Sentinel”>“配置”>“监视列表”。

  2. 选择要编辑的监视列表。

  3. 在详细信息窗格中,选择“更新播放列表”>“批量更新”。

    屏幕截图显示详细信息窗格底部的“批量更新”选项。

  4. 在“上传文件”下,拖放或浏览到要上传的文件。

    监视列表向导源页面的屏幕截图,你可以在其中选择要上传的文件,但搜索关键字字段已禁用。

  5. 如果遇到错误,请修复文件中的问题。 然后选择“重置”,并尝试再次上传文件。

  6. 选择“下一步: 审阅并更新”>“更新”。

相关内容

若要详细了解 Microsoft Sentinel,请参阅以下文章: