在 Microsoft Sentinel 中管理監看清單
建議您編輯現有的關注清單,而不是刪除並重新建立關注清單。 記錄分析針對資料擷取具有五分鐘的 SLA。 如果您刪除並重新建立關注清單,在這五分鐘的期間,您可能會在 Log Analytics 中同時看到已刪除和重新建立的項目。 如果您在五分鐘後於 Log Analytics 中持續看到這些重複的項目,請提交支援票證。
重要
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
編輯關注清單項目
編輯關注清單以編輯項目或將項目新增至關注清單。
針對 Azure 入口網站 中的 Microsoft Sentinel,在 [設定] 底下,選取 [監看式清單]。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel>設定>監看清單]。選取您要編輯的關注清單。
在詳細資料窗格中,選取 [更新關注清單編輯關注清單>專案]。
![詳細資料窗格底部 [編輯關注清單] 選項的螢幕快照。](media/watchlists-manage/sentinel-watchlist-edit.png)
編輯現有的關注清單項目:
選取該關注清單項目的核取方塊。
編輯該項目。
選取 [儲存]。
在確認提示中選取 [是]。
將新項目新增到您的關注清單:
選取新增。
填寫 [新增關注列表專案] 面板的欄位。
在該面板底部,選取 [ 新增]。
![詳細資料窗格底部 [編輯關注清單] 選項的螢幕快照。](media/watchlists-manage/sentinel-watchlist-edit.png#lightbox)
大量更新關注清單
當您有許多項目想要新增到關注清單時,請使用大量更新。 大量更新關注清單會將項目附加到現有的關注清單。 然後,其會移除關注清單中項目的重複項目,使每個資料行中的值都相符。
如果您已刪除關注清單檔案中的某個項目並加以上傳,大量更新將不會刪除現有關注清單中的該項目。 請個別刪除關注清單項目。 或者,當您有許多刪除專案時,請刪除並重新建立監看清單。
您上傳的已更新關注清單檔案必須包含關注清單所使用的搜尋索引鍵欄位,且不能有空白值。
大量更新關注清單:
針對 Azure 入口網站 中的 Microsoft Sentinel,在 [設定] 底下,選取 [監看式清單]。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel>設定>監看清單]。選取您要編輯的關注清單。
在詳細資料窗格中,選取 [更新監看清單>大量更新]。
![詳細資料窗格底部 [大量更新] 選項的螢幕快照。](media/watchlists-manage/sentinel-watchlist-bulk-update.png)
在 [上傳檔案] 底下,拖放或流覽至要上傳的檔案。
如果您收到錯誤,請修正檔案中的問題。 然後選取 [ 重設 ],然後再次嘗試上傳檔案。
選取 [下一步:檢閱和更新>更新]。
![詳細資料窗格底部 [大量更新] 選項的螢幕快照。](media/watchlists-manage/sentinel-watchlist-bulk-update.png#lightbox)
相關內容
若要深入了解 Microsoft Sentinel,請參閱下列文章:
- 在 Microsoft Sentinel 中使用關注清單
- 學習如何洞察資料及潛在威脅。
- 開始 使用 Microsoft Sentinel 來偵測威脅。
- 使用活頁簿 來監視您的數據。