Delen via

Volglijsten beheren in Microsoft Sentinel

  • Artikel
  • Van toepassing op:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

U wordt aangeraden een bestaande volglijst te bewerken in plaats van een volglijst te verwijderen en opnieuw te maken. Log Analytics heeft een SLA van vijf minuten voor gegevensopname. Als u een volglijst verwijdert en opnieuw maakt, ziet u mogelijk zowel de verwijderde als de opnieuw gemaakte vermeldingen in Log Analytics tijdens dit venster van vijf minuten. Als u deze dubbele vermeldingen gedurende langere tijd in Log Analytics ziet, dient u een ondersteuningsticket in.

Belangrijk

Microsoft Sentinel is algemeen beschikbaar binnen het geïntegreerde beveiligingsbewerkingsplatform van Microsoft in de Microsoft Defender-portal. Voor preview is Microsoft Sentinel beschikbaar in de Defender-portal zonder Microsoft Defender XDR of een E5-licentie. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Een watchlist-item bewerken

Bewerk een volglijst om een item te bewerken of toe te voegen aan de volglijst.

  1. Selecteer voor Microsoft Sentinel in Azure Portal onder Configuratie de optie Volglijst.
    Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Configuration>Watchlist.

  2. Selecteer de volglijst die u wilt bewerken.

  3. Selecteer in het detailvenster De watchlist Bijwerken watchlist>items bewerken.

    Schermopname van de optie Watchlist bewerken onderaan het detailvenster.

  4. Een bestaand watchlist-item bewerken:

    1. Schakel het selectievakje van dat volglijstitem in.

    2. Bewerk het item.

    3. Selecteer Opslaan.

      Schermopname van het markeren en bewerken van een volglijstitem.

    4. Selecteer Ja bij de bevestigingsprompt.

      Schermopname van de prompt om uw wijzigingen te bevestigen.

  5. Als u een nieuw item wilt toevoegen aan uw volglijst,

    1. Selecteer Nieuwe toevoegen.

      Schermopname van de nieuwe knop boven aan de pagina items in de watchlist bewerken.

    2. Vul de velden van het deelvenster Volglijstitem toevoegen in.

    3. Selecteer Aan de onderkant van dat deelvenster de optie Toevoegen.

Een volglijst bulksgewijs bijwerken

Wanneer u veel items aan een volglijst wilt toevoegen, gebruikt u bulkupdates. Een bulkupdate van een volglijst voegt items toe aan de bestaande volglijst. Vervolgens worden de items in de volglijst gededupliceerd, waarbij alle waarden in elke kolom overeenkomen.

Als u een item uit uw volglijstbestand hebt verwijderd en het hebt geüpload, wordt het item niet in de bestaande volglijst verwijderd door bulkupdates. Verwijder het volglijstitem afzonderlijk. Of als u veel verwijderingen hebt, verwijdert u de volglijst en maakt u deze opnieuw.

Het bijgewerkte volglijstbestand dat u uploadt, moet het zoeksleutelveld bevatten dat door de volglijst wordt gebruikt zonder lege waarden.

Een volglijst bulksgewijs bijwerken

  1. Selecteer voor Microsoft Sentinel in Azure Portal onder Configuratie de optie Volglijst.
    Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Configuration>Watchlist.

  2. Selecteer de volglijst die u wilt bewerken.

  3. Selecteer In het detailvenster de optie Volglijst>bulkupdate bijwerken.

    Schermopname van de optie voor bulksgewijs bijwerken onderaan het detailvenster.

  4. Sleep onder Bestand uploaden naar het bestand of blader naar het bestand dat u wilt uploaden.

    Schermopname van de bronpagina van de watchlist-wizard waarin u het bestand selecteert dat u wilt uploaden en het veld met de zoeksleutel is uitgeschakeld.

  5. Als er een fout optreedt, lost u het probleem in het bestand op. Selecteer Vervolgens Opnieuw instellen en probeer het bestand opnieuw te uploaden.

  6. Selecteer Volgende: Bijwerken controleren en bijwerken>.

Gerelateerde inhoud

Zie de volgende artikelen voor meer informatie over Microsoft Sentinel: