Создание списка отслеживания

  • 4 мин

Чтобы создать список отслеживания на портале Azure, выполните следующие действия:

  1. Перейдите в раздел Microsoft Sentinel > Конфигурация > Список отслеживания и выберите Добавить новый.

    Screen shot of creating a Sentinel Watchlist List.

  2. На странице "Общие" укажите имя, описание и псевдоним для списка отслеживания, а затем нажмите кнопку Далее.

  3. На странице "Источник" выберите тип набора данных, отправьте файл, а затем нажмите кнопку Далее.

    Примечание.

    В настоящее время можно отправлять файлы, размер которых не превышает 3,8 МБ.

  4. Затем проверьте сведения, убедитесь, что они верны, после чего нажмите кнопку Создать. После того как список отслеживания будет готов, появится соответствующее уведомление.

Чтобы использовать данные списка отслеживания в KQL, используйте функцию _GetWatchlist('имя_списка_отслеживания').

_GetWatchlist('HighValueMachines')