Gerenciar listas de observação no Microsoft Sentinel
Recomendamos que você edite uma lista de observação existente em vez de excluir e recriar uma lista de observação. A análise de log tem um SLA de cinco minutos para ingestão de dados. Se você excluir e recriar uma lista de observação, poderá ver as entradas excluídas e recriadas no Log Analytics durante essa janela de cinco minutos. Se você vir essas entradas duplicadas no Log Analytics por um longo período de tempo, envie um tíquete de suporte.
Importante
O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Editar um item da lista de observação
Edite uma lista de observação para editar ou adicionar um item à lista de observação.
Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Lista de observação.
Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuration>Watchlist.Selecione a lista de observação que deseja editar.
No painel de detalhes, selecione Atualizar lista>de observação Editar itens da lista de observação.
Para editar um item existente da lista de observação,
Marque a caixa de seleção desse item da lista de observação.
Edite o item.
Selecione Guardar.
Selecione Sim no prompt de confirmação.
Para adicionar um novo item à sua lista de observação,
Selecione Adicionar novo.
Preencha os campos do painel Adicionar item da lista de observação.
Na parte inferior desse painel, selecione Adicionar.
Atualizar em massa uma lista de observação
Quando você tiver muitos itens para adicionar a uma lista de observação, use a atualização em massa. Uma atualização em massa de uma lista de observação acrescenta itens à lista de observação existente. Em seguida, elimina a duplicação dos itens na lista de observação, onde todos os valores em cada coluna correspondem.
Se você excluiu um item do arquivo da lista de observação e o carrega, a atualização em massa não excluirá o item da lista de observação existente. Exclua o item da lista de observação individualmente. Ou, quando você tiver muitas exclusões, exclua e recrie a lista de observação.
O arquivo de lista de observação atualizado que você carrega deve conter o campo de chave de pesquisa usado pela lista de observação sem valores em branco.
Para atualizar em massa uma lista de observação,
Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Lista de observação.
Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuration>Watchlist.Selecione a lista de observação que deseja editar.
No painel de detalhes, selecione Atualizar atualização em massa da lista>de observação.
Em Carregar ficheiro, arraste e largue ou navegue até ao ficheiro a carregar.
Se você receber um erro, corrija o problema no arquivo. Em seguida, selecione Redefinir e tente carregar o arquivo novamente.
Selecione Next: Review and update (Avançar: Revisar e atualizar>atualização).
Conteúdos relacionados
Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:
- Usar listas de observação no Microsoft Sentinel
- Saiba como obter visibilidade dos seus dados e potenciais ameaças.
- Comece a detetar ameaças com o Microsoft Sentinel.
- Use pastas de trabalho para monitorar seus dados.