Gerenciar listas de observação

  • 3 minutos

Recomendamos que você edite uma lista de observação existente em vez de excluir e recriar uma lista de observação. A análise de log tem um SLA de cinco minutos para ingestão de dados. Se você excluir e recriar uma lista de observação, poderá ver as entradas excluídas e recriadas no Log Analytics durante essa janela de cinco minutos. Se você vir essas entradas duplicadas no Log Analytics por um longo período de tempo, envie um tíquete de suporte.

Editar um item da lista de observação

Edite uma lista de observação para editar ou adicionar um item à lista de observação.

  1. No portal do Azure, vá para o Microsoft Sentinel e selecione o espaço de trabalho apropriado.

  2. Em Configuração, selecione Lista de observação.

  3. Selecione a lista de observação que deseja editar.

  4. No painel de detalhes, selecione Atualizar lista > de observação Editar itens da lista de observação.

  5. Para editar um item existente da lista de observação,

    1. Marque a caixa de seleção desse item da lista de observação.

    2. Edite o item.

    3. Selecione Guardar.

    4. Selecione Sim no prompt de confirmação.

  6. Para adicionar um novo item à sua lista de observação,

    1. Selecione Adicionar novo.

    2. Preencha os campos no painel Adicionar item da lista de observação.

    3. Na parte inferior desse painel, selecione Adicionar.

Atualizar em massa uma lista de observação

Quando você tiver muitos itens para adicionar a uma lista de observação, use a atualização em massa. Uma atualização em massa de uma lista de observação acrescenta itens à lista de observação existente. Em seguida, elimina a duplicação dos itens na lista de observação, onde todos os valores em cada coluna correspondem.

Se você excluiu um item do arquivo da lista de observação e o carrega, a atualização em massa não excluirá o item da lista de observação existente. Exclua o item da lista de observação individualmente. Ou, quando tiver muitas exclusões, exclua e recrie a lista de observação.

O arquivo de lista de observação atualizado que você carrega deve conter o campo de chave de pesquisa usado pela lista de observação sem valores em branco.

Para atualizar em massa uma lista de observação,

  1. No portal do Azure, vá para o Microsoft Sentinel e selecione o espaço de trabalho apropriado.

  2. Em Configuração, selecione Lista de observação.

  3. Selecione a lista de observação que deseja editar.

  4. No painel de detalhes, selecione Atualizar atualização em massa da lista > de observação.

  5. Em Carregar ficheiro, arraste e largue ou navegue até ao ficheiro a carregar.

  6. Se você receber um erro, corrija o problema no arquivo. Em seguida, selecione Redefinir e tente carregar o arquivo novamente.

  7. Selecione Next : Review and update (Avançar: Revisar e atualizar > atualização).