Verwalten von Watchlists in Microsoft Sentinel

Es wird empfohlen, eine vorhandene Watchlist zu bearbeiten, anstatt eine Watchlist zu löschen und neu zu erstellen. Log Analytics verfügt über eine SLA von fünf Minuten für die Datenerfassung. Wenn Sie eine Watchlist löschen und neu erstellen, werden in diesem fünfminütigen Fenster möglicherweise sowohl die gelöschten als auch die neu erstellten Einträge in Log Analytics angezeigt. Wenn diese doppelten Einträge für einen längeren Zeitraum in Log Analytics angezeigt werden, übermitteln Sie ein Supportticket.

Wichtig

Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Bearbeiten eines Watchlist-Elements

Bearbeiten Sie eine Watchlist, um ein Element zu bearbeiten oder der Watchlist hinzuzufügen.

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Konfiguration die Option Watchlist aus.
    Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel >Konfigurationsanalyse>Watchlist aus.

  2. Wählen Sie die Watchlist aus, die Sie bearbeiten möchten.

  3. Wählen Sie im Detailbereich Watchlist aktualisieren>Watchlist-Elemente bearbeiten aus.

    Screenshot: Option „Watchlist bearbeiten“ am unteren Rand des Detailbereichs.

  4. So bearbeiten Sie ein vorhandenes Watchlistelement

    1. Aktivieren Sie das Kontrollkästchen dieses Watchlistelements.

    2. Bearbeiten Sie das Element.

    3. Wählen Sie Speichern aus.

      Screenshot: Markieren und Bearbeiten eines Watchlist-Elements.

    4. Wählen Sie bei der Aufforderung zur Bestätigung Ja aus.

      Screenshot: Eingabeaufforderung zum Bestätigen der Änderungen.

  5. So fügen Sie Ihrer Watchlist ein neues Element hinzu

    1. Wählen Sie Neue hinzufügen aus.

      Screenshot der neuen Schaltfläche oben auf der Seite „Watchlist-Elemente bearbeiten“.

    2. Füllen Sie die Felder im Bereich Watchlistelement hinzufügen aus.

    3. Wählen Sie unten im Bereich Hinzufügen aus.

Massenaktualisierung einer Watchlist

Wenn Sie einer Watchlist viele Elemente hinzufügen müssen, verwenden Sie die Massenaktualisierung. Bei einer Massenaktualisierung einer Watchlist werden Elemente an die vorhandene Watchlist angefügt. Anschließend werden die Elemente in der Watchlist dedupliziert, bei denen alle Werte in jeder Spalte übereinstimmen.

Wenn Sie ein Element aus Ihrer Watchlist-Datei gelöscht und hochgeladen haben, wird das Element in der vorhandenen Watchlist nicht durch die Massenaktualisierung gelöscht. Löschen Sie das Watchlist-Element einzeln. Wenn viele Löschvorgänge durchzuführen sind, löschen Sie die Watchlist, und erstellen Sie sie neu.

Die aktualisierte Watchlist-Datei, die Sie hochladen, muss das Suchschlüsselfeld enthalten, das von der Watchlist ohne leere Werte verwendet wird.

So führen Sie die Massenaktualisierung für eine Watchlist durch:

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Konfiguration die Option Watchlist aus.
    Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel >Konfigurationsanalyse>Watchlist aus.

  2. Wählen Sie die Watchlist aus, die Sie bearbeiten möchten.

  3. Wählen Sie im Detailbereich Watchlist aktualisieren>Massenaktualisierung aus.

    Screenshot: Option „Massenupdate“ am unteren Rand des Detailbereichs.

  4. Ziehen Sie unter Datei hochladen die hochzuladende Datei per Drag & Drop oder suchen Sie nach ihr.

    Screenshot: Quellseite des Watchlist-Assistenten, auf der Sie die Datei zum Hochladen auswählen und auf der das Suchschlüsselfeld deaktiviert ist.

  5. Wenn sie einen Fehler erhalten, beheben Sie das Problem in der Datei. Wählen Sie dann Zurücksetzen aus, und wiederholen Sie den Dateiupload.

  6. Wählen Sie Weiter: Überprüfen und aktualisieren>Aktualisieren aus.

Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln: