Zarządzanie listami do obejrzenia w usłudze Microsoft Sentinel
Zalecamy edytowanie istniejącej listy obserwowanych zamiast usuwania i ponownego tworzenia listy obserwowanych. Usługa Log Analytics ma umowę SLA z pięciominutową umową SLA na potrzeby pozyskiwania danych. Jeśli usuniesz i ponownie utworzysz listę obserwowanych, w tym pięciominutowym oknie będą widoczne zarówno usunięte, jak i ponownie utworzone wpisy w usłudze Log Analytics. Jeśli te zduplikowane wpisy w usłudze Log Analytics będą widoczne przez dłuższy czas, prześlij bilet pomocy technicznej.
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Edytowanie elementu listy obserwowanych
Edytuj listę obserwowanych, aby edytować lub dodać element do listy obserwowanych.
W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Konfiguracja wybierz pozycję Lista obserwowana.
W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Lista obserwowanych konfiguracji>usługi Microsoft Sentinel.>Wybierz listę obserwowanych, którą chcesz edytować.
W okienku szczegółów wybierz pozycję Aktualizuj listę>obserwowanych Edytuj elementy listy obserwowanych.
Aby edytować istniejący element listy obserwowanych,
Zaznacz pole wyboru tego elementu listy obserwowanych.
Edytuj element.
Wybierz pozycję Zapisz.
Wybierz pozycję Tak po wyświetleniu monitu o potwierdzenie.
Aby dodać nowy element do listy obserwowanych,
Wybierz Dodaj nowy.
Wypełnij pola panelu Dodawanie elementu listy do obejrzenia.
W dolnej części tego panelu wybierz pozycję Dodaj.
Zbiorcze aktualizowanie listy obserwowanych
Jeśli masz wiele elementów do dodania do listy obserwowanych, użyj aktualizacji zbiorczej. Zbiorcza aktualizacja listy obserwowanych dołącza elementy do istniejącej listy obserwowanych. Następnie usuwa duplikaty elementów na liście obserwowanych, gdzie wszystkie wartości w każdej kolumnie są zgodne.
Jeśli element został usunięty z pliku listy obserwowanych i przekazany, aktualizacja zbiorcza nie usunie elementu z istniejącej listy obserwowanych. Usuń element listy obserwowanych indywidualnie. Lub, gdy masz wiele operacji usuwania, usuń i ponownie utwórz listę do obejrzenia.
Zaktualizowany przekazany plik listy obserwowanych musi zawierać pole klucza wyszukiwania używane przez listę obserwowanych bez pustych wartości.
Aby zbiorczo zaktualizować listę obserwowanych,
W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Konfiguracja wybierz pozycję Lista obserwowana.
W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Lista obserwowanych konfiguracji>usługi Microsoft Sentinel.>Wybierz listę obserwowanych, którą chcesz edytować.
W okienku szczegółów wybierz pozycję Aktualizuj aktualizację zbiorczą listy obserwowanych>.
W obszarze Przekaż plik przeciągnij i upuść lub przejdź do pliku, aby go przekazać.
Jeśli wystąpi błąd, rozwiąż problem w pliku. Następnie wybierz pozycję Resetuj i spróbuj ponownie przekazać plik.
Wybierz pozycję Dalej: Przejrzyj i zaktualizuj aktualizację>.
Powiązana zawartość
Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły: