Compartilhar via

Gerenciar watchlists no Microsoft Sentinel

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Recomendamos que você edite uma watchlist existente em vez de excluir e recriar uma watchlist. O Log Analytics tem um SLA de cinco minutos para a ingestão de dados. Se você excluir e recriar uma watchlist, poderá ver as entradas excluídas e recriadas em Log Analytics durante essa janela de cinco minutos. Se você vir essas entradas duplicadas no Log Analytics por um período de tempo mais longo, envie um tíquete de suporte.

Importante

O Microsoft Sentinel já está em disponibilidade geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para versão prévia, o Microsoft Sentinel está disponível no portal do Defender sem uma licença do E5 ou o Microsoft Defender XDR. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Editar um item da watchlist

Edite uma watchlist para editar ou adicionar um item à watchlist.

  1. Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Watchlist.
    Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuração>Watchlist.

  2. Selecione a watchlist que você deseja editar.

  3. No painel de detalhes, selecione Atualizar watchlist>Editar itens da watchlist.

    Captura de tela da opção Editar watchlist na parte inferior do painel de detalhes.

  4. Para editar um item de watchlist existente,

    1. Selecione a caixa de seleção desse item de watchlist.

    2. Edite o item.

    3. Selecione Salvar.

      Captura de tela que mostra como marcar e editar um item da watchlist.

    4. Clique em Sim no prompt de confirmação.

      Captura de tela do prompt para confirmar suas alterações.

  5. Para adicionar um novo item à sua watchlist,

    1. Selecione Adicionar nova.

      Captura de tela do novo botão na parte superior da página Editar itens da watchlist.

    2. Preencha os campos do painel Adicionar item da watchlist.

    3. Na parte inferior desse painel, selecione Adicionar.

Atualização em massa de uma watchlist

Quando você tiver muitos itens para adicionar a uma watchlist, use a atualização em massa. A atualização em massa acrescenta itens a uma watchlist existente. Em seguida, ela elimina as duplicatas dos itens na watchlist em que todo o valor em cada coluna corresponde.

Se você excluiu um item do arquivo da watchlist e o carregou, a atualização em massa não excluirá o item na watchlist existente. Exclua o item da watchlist individualmente. Ou, quando você tiver muitas exclusões, exclua e recrie a watchlist.

O arquivo da watchlist atualizada que você carregou deve conter o campo de chave de pesquisa usado pela watchlist, sem valores em branco.

Para fazer atualização em massa de uma watchlist,

  1. Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Watchlist.
    Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuração>Watchlist.

  2. Selecione a watchlist que você deseja editar.

  3. No painel de detalhes, selecione Atualizar watchlist>Atualização em massa.

    Captura de tela da opção de atualização em massa na parte inferior do painel de detalhes.

  4. Em Carregar arquivo, arraste e solte ou navegue até o arquivo a ser carregado.

    Captura de tela da página de origem do assistente da watchlist em que você seleciona o arquivo a ser carregado e o campo do termo de pesquisa está desabilitado.

  5. Se você receber um erro, corrija o problema no arquivo. Em seguida, selecione Redefinir e carregar o arquivo novamente.

  6. Selecione Avançar: examinar e atualizar>Atualizar.

Conteúdo relacionado

Para saber mais sobre o Microsoft Sentinel, confira os artigos a seguir: