Gerenciar listas de observação no Microsoft Sentinel

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Recomendamos que você edite uma lista de observação existente em vez de excluir e recriar uma lista de observação. A análise de log tem um SLA de cinco minutos para ingestão de dados. Se você excluir e recriar uma lista de observação, poderá ver as entradas excluídas e recriadas no Log Analytics durante essa janela de cinco minutos. Se você vir essas entradas duplicadas no Log Analytics por um longo período de tempo, envie um tíquete de suporte.

Importante

O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Editar um item da lista de observação

Edite uma lista de observação para editar ou adicionar um item à lista de observação.

  1. Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Lista de observação.
    Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuration>Watchlist.

  2. Selecione a lista de observação que deseja editar.

  3. No painel de detalhes, selecione Atualizar lista>de observação Editar itens da lista de observação.

    Captura de ecrã da opção editar lista de observação na parte inferior do painel de detalhes.

  4. Para editar um item existente da lista de observação,

    1. Marque a caixa de seleção desse item da lista de observação.

    2. Edite o item.

    3. Selecione Guardar.

      Captura de ecrã a mostrar como marcar e editar um item da lista de observação.

    4. Selecione Sim no prompt de confirmação.

      Captura de ecrã do pedido para confirmar as alterações.

  5. Para adicionar um novo item à sua lista de observação,

    1. Selecione Adicionar novo.

      Captura de ecrã do novo botão na parte superior da página Editar itens da lista de observação.

    2. Preencha os campos do painel Adicionar item da lista de observação.

    3. Na parte inferior desse painel, selecione Adicionar.

Atualizar em massa uma lista de observação

Quando você tiver muitos itens para adicionar a uma lista de observação, use a atualização em massa. Uma atualização em massa de uma lista de observação acrescenta itens à lista de observação existente. Em seguida, elimina a duplicação dos itens na lista de observação, onde todos os valores em cada coluna correspondem.

Se você excluiu um item do arquivo da lista de observação e o carrega, a atualização em massa não excluirá o item da lista de observação existente. Exclua o item da lista de observação individualmente. Ou, quando você tiver muitas exclusões, exclua e recrie a lista de observação.

O arquivo de lista de observação atualizado que você carrega deve conter o campo de chave de pesquisa usado pela lista de observação sem valores em branco.

Para atualizar em massa uma lista de observação,

  1. Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Lista de observação.
    Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuration>Watchlist.

  2. Selecione a lista de observação que deseja editar.

  3. No painel de detalhes, selecione Atualizar atualização em massa da lista>de observação.

    Captura de ecrã da opção de atualização em massa na parte inferior do painel de detalhes.

  4. Em Carregar ficheiro, arraste e largue ou navegue até ao ficheiro a carregar.

    Captura de ecrã da página de origem do assistente da lista de observação onde seleciona o ficheiro a carregar e o campo da chave de pesquisa está desativado.

  5. Se você receber um erro, corrija o problema no arquivo. Em seguida, selecione Redefinir e tente carregar o arquivo novamente.

  6. Selecione Next: Review and update (Avançar: Revisar e atualizar>atualização).

Conteúdos relacionados

Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos: