Tworzenie listy do obejrzenia

  • 4 min

Aby utworzyć listę obserwowanych w witrynie Azure Portal, wykonaj następujące kroki:

  1. Przejdź do listy obserwowanych konfiguracji > usługi Microsoft Sentinel > i wybierz pozycję Dodaj nową.

    Screen shot of creating a Sentinel Watchlist List.

  2. Na stronie Ogólne podaj nazwę, opis i alias listy obserwowanych, a następnie wybierz przycisk Dalej.

  3. Na stronie Źródło wybierz typ zestawu danych, przekaż plik, a następnie wybierz pozycję Dalej.

    Uwaga

    Przekazywanie plików jest obecnie ograniczone do plików o rozmiarze do 3,8 MB.

  4. Następnie przejrzyj informacje, sprawdź, czy są poprawne, a następnie wybierz pozycję Utwórz. Po uzyskaniu gotowości listy do obejrzenia zostanie wyświetlone powiadomienie.

Aby użyć danych listy kontrolnej w języku KQL, użyj funkcji KQL _GetWatchlist('nazwa listy kontrolnej').

_GetWatchlist('HighValueMachines')