Verwalten von Watchlists in Microsoft Sentinel
Es wird empfohlen, eine vorhandene Watchlist zu bearbeiten, anstatt eine Watchlist zu löschen und neu zu erstellen. Log Analytics verfügt über eine SLA von fünf Minuten für die Datenerfassung. Wenn Sie eine Watchlist löschen und neu erstellen, werden in diesem fünfminütigen Fenster möglicherweise sowohl die gelöschten als auch die neu erstellten Einträge in Log Analytics angezeigt. Wenn diese doppelten Einträge für einen längeren Zeitraum in Log Analytics angezeigt werden, übermitteln Sie ein Supportticket.
Wichtig
Microsoft Sentinel ist auf der Unified Security Operations Platform von Microsoft im Microsoft Defender-Portal allgemein verfügbar. Für die Preview ist Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR oder eine E5-Lizenz verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Bearbeiten eines Watchlist-Elements
Bearbeiten Sie eine Watchlist, um ein Element zu bearbeiten oder der Watchlist hinzuzufügen.
Wählen Sie für Microsoft Sentinel im Azure-Portal unter Konfiguration die Option Watchlist aus.
Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel >Konfigurationsanalyse>Watchlist aus.Wählen Sie die Watchlist aus, die Sie bearbeiten möchten.
Wählen Sie im Detailbereich Watchlist aktualisieren>Watchlist-Elemente bearbeiten aus.
So bearbeiten Sie ein vorhandenes Watchlistelement
Aktivieren Sie das Kontrollkästchen dieses Watchlistelements.
Bearbeiten Sie das Element.
Wählen Sie Speichern aus.
Wählen Sie bei der Aufforderung zur Bestätigung Ja aus.
So fügen Sie Ihrer Watchlist ein neues Element hinzu
Wählen Sie Neue hinzufügen aus.
Füllen Sie die Felder im Bereich Watchlistelement hinzufügen aus.
Wählen Sie unten im Bereich Hinzufügen aus.
Massenaktualisierung einer Watchlist
Wenn Sie einer Watchlist viele Elemente hinzufügen müssen, verwenden Sie die Massenaktualisierung. Bei einer Massenaktualisierung einer Watchlist werden Elemente an die vorhandene Watchlist angefügt. Anschließend werden die Elemente in der Watchlist dedupliziert, bei denen alle Werte in jeder Spalte übereinstimmen.
Wenn Sie ein Element aus Ihrer Watchlist-Datei gelöscht und hochgeladen haben, wird das Element in der vorhandenen Watchlist nicht durch die Massenaktualisierung gelöscht. Löschen Sie das Watchlist-Element einzeln. Wenn viele Löschvorgänge durchzuführen sind, löschen Sie die Watchlist, und erstellen Sie sie neu.
Die aktualisierte Watchlist-Datei, die Sie hochladen, muss das Suchschlüsselfeld enthalten, das von der Watchlist ohne leere Werte verwendet wird.
So führen Sie die Massenaktualisierung für eine Watchlist durch:
Wählen Sie für Microsoft Sentinel im Azure-Portal unter Konfiguration die Option Watchlist aus.
Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel >Konfigurationsanalyse>Watchlist aus.Wählen Sie die Watchlist aus, die Sie bearbeiten möchten.
Wählen Sie im Detailbereich Watchlist aktualisieren>Massenaktualisierung aus.
Ziehen Sie unter Datei hochladen die hochzuladende Datei per Drag & Drop oder suchen Sie nach ihr.
Wenn sie einen Fehler erhalten, beheben Sie das Problem in der Datei. Wählen Sie dann Zurücksetzen aus, und wiederholen Sie den Dateiupload.
Wählen Sie Weiter: Überprüfen und aktualisieren>Aktualisieren aus.
Zugehöriger Inhalt
Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln:
- Verwenden von Watchlists in Microsoft Sentinel
- Erfahren Sie, wie Sie Einblick in Ihre Daten und potenzielle Bedrohungen erhalten.
- Beginnen Sie mit Erkennung von Bedrohungen mithilfe von Microsoft Sentinel.
- Verwenden Sie Arbeitsmappen, um Ihre Daten zu überwachen.