Criação de uma watchlist
Para criar uma watchlist usando o portal do Azure, execute estas etapas:
Acesse Microsoft Sentinel > Configuração > Watchlist e selecione Adicionar nova.
Na página Geral, forneça o nome, a descrição e o alias para a watchlist e selecione Avançar.
Na página Origem, selecione o tipo de conjunto de dados, carregue um arquivo e selecione Avançar.
Observação
Atualmente, os carregamentos estão restritos a arquivos de tamanho até 3,8 MB.
Agora, examine as informações, verifique se estão corretas e selecione Criar. Uma notificação será exibida quando a watchlist estiver pronta.
Para usar os dados da watchlist em KQL, use a função KQL _GetWatchlist ('nome da watchlist').
_GetWatchlist('HighValueMachines')