创建监视列表

  • 4 分钟

若要通过 Azure 门户创建监视列表,请执行以下步骤:

  1. 转到“Microsoft Sentinel”>“配置”>“监视列表”,然后选择“新增”

    Screen shot of creating a Sentinel Watchlist List.

  2. 在“常规”页上,提供监视列表的名称、说明和别名,然后选择“下一步”

  3. 在“源”页上,选择数据集类型,上传文件,然后选择“下一步”

    注意

    文件上传大小当前限制为不超过 3.8 MB。

  4. 接下来,检查信息,验证它是否正确,然后选择“创建”。 监视列表就绪后会显示一则通知。

要在 KQL 中使用监视列表数据,请使用 KQL 函数 _GetWatchlist('watchlist name')。

_GetWatchlist('HighValueMachines')