在 Microsoft Sentinel 中建立關注清單

• 適用於:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

建議您編輯現有的關注清單，而不是刪除並重新建立關注清單。 記錄分析針對資料擷取具有五分鐘的 SLA。 如果您刪除並重新建立關注清單，在這五分鐘的期間，您可能會在 Log Analytics 中同時看到已刪除和重新建立的項目。 如果您在五分鐘後於 Log Analytics 中持續看到這些重複的項目，請提交支援票證。

重要

Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊，請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

編輯關注清單項目

編輯關注清單以編輯項目或將項目新增至關注清單。

1. 針對 Azure 入口網站的 Microsoft Sentinel，在 [設定] 下方選取 [關注清單].。
   針對 Defender 入口網站中的 Microsoft Sentinel，選取 [Microsoft Sentinel]>[設定]>[關注清單]。

2. 選取您要編輯的關注清單。

3. 在詳細資料窗格中，選取 [更新關注清單]>[編輯關注清單]。

   

4. 編輯現有的關注清單項目：

   1. 選取該關注清單項目的核取方塊。

   2. 編輯該項目。

   3. 選取 [儲存]。

      

   4. 在確認提示中選取 [是]。

      

5. 將新項目新增到您的關注清單：

   1. 選取新增。

      

   2. 填入 [新增關注清單項目] 面板的欄位。

   3. 在該面板底部，選取 [新增]。

大量更新關注清單

當您有許多項目想要新增到關注清單時，請使用大量更新。 大量更新關注清單會將項目附加到現有的關注清單。 然後，其會移除關注清單中項目的重複項目，使每個資料行中的值都相符。

如果您已刪除關注清單檔案中的某個項目並加以上傳，大量更新將不會刪除現有關注清單中的該項目。 請個別刪除關注清單項目。 或者，當您有許多刪除的項目時，請刪除並重新建立關注清單。

您上傳的已更新關注清單檔案必須包含關注清單所使用的搜尋索引鍵欄位，且不能有空白值。

大量更新關注清單：

1. 針對 Azure 入口網站的 Microsoft Sentinel，在 [設定] 下方選取 [關注清單].。
   針對 Defender 入口網站中的 Microsoft Sentinel，選取 [Microsoft Sentinel]>[設定]>[關注清單]。

2. 選取您要編輯的關注清單。

3. 在詳細資料窗格中，選取 [更新關注清單]>[大量更新]。

   

4. 在 [上傳檔案] 底下，拖放和置放或瀏覽至要上傳的檔案。

   

5. 如果您收到錯誤，請修正檔案中的問題。 然後選取 [重設]，然後再次嘗試上傳檔案。

6. 選取 [下一步：檢閱並更新]>[更新]。

相關內容

若要深入了解 Microsoft Sentinel，請參閱下列文章：

• 在 Microsoft Sentinel 中使用监视列表
• 學習如何洞察資料及潛在威脅。
• 開始 使用 Microsoft Sentinel 來偵測威脅。
• 使用活頁簿監視資料。