Condividi tramite

Gestire le watchlist in Microsoft Sentinel

  • Articolo
  • Si applica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Anziché eliminare e ricreare un watchlist, è consigliabile modificare un watchlist esistente. Il contratto di servizio di Log Analytics prevede cinque minuti per l'inserimento dati. Se si elimina e ricrea un watchlist, in questi cinque minuti è possibile visualizzare sia le voci eliminate che quelle ricreate in Log Analytics. Se queste voci duplicate vengono visualizzate in Log Analytics per un periodo di tempo più lungo, creare un ticket di supporto.

Importante

Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Modificare un elemento della watchlist

Per modificare o aggiungere un elemento alla watchlist, è necessario modificare una watchlist.

  1. Per Microsoft Sentinel nel portale di Azure, in Configurazione, selezionare Watchlist.
    Per Microsoft Sentinel, nel portale di Defender, selezionare Microsoft Sentinel>Configurazione>Watchlist.

  2. Selezionare la watchlist da modificare.

  3. Nel riquadro dei dettagli selezionare Aggiorna watchlist>Modifica elementi watchlist.

    Screenshot dell'opzione modifica watchlist nella parte inferiore del riquadro dei dettagli.

  4. Per modificare un elemento della watchlist esistente:

    1. Selezionare la casella di controllo in corrispondenza dell'elemento della watchlist.

    2. Modificare l'elemento.

    3. Seleziona Salva.

      Screenshot che mostra come contrassegnare e modificare un elemento della watchlist.

    4. Selezionare al prompt di conferma.

      Screenshot della richiesta di conferma delle modifiche.

  5. Per aggiungere un nuovo elemento alla watchlist:

    1. Seleziona Aggiungi nuovo.

      Screenshot del nuovo pulsante nella parte superiore della pagina Modifica elementi watchlist.

    2. Compilare i campi del pannello Aggiungi elemento watchlist.

    3. Nella parte inferiore del pannello, selezionare Aggiungi.

Aggiornare in blocco una watchlist

Quando sono molti gli elementi da aggiungere a una watchlist, usare l'aggiornamento in blocco. Un aggiornamento in blocco di una watchlist aggiunge gli elementi alla watchlist esistente. Quindi, deduplica gli elementi nella watchlist in cui tutti i valori di ogni colonna corrispondono.

Se un elemento è stato eliminato dal file della watchlist e lo si carica, l'aggiornamento in blocco non lo eliminerà nella watchlist esistente. Eliminare l'elemento della watchlist singolarmente. In alternativa, quando si dispone di molte eliminazioni, eliminare e ricreare l'elenco di controllo.

Il file aggiornato e caricato della watchlist deve contenere il campo della chiave di ricerca usato dalla watchlist senza valori vuoti.

Per aggiornare in blocco una watchlist:

  1. Per Microsoft Sentinel nel portale di Azure, in Configurazione, selezionare Watchlist.
    Per Microsoft Sentinel, nel portale di Defender, selezionare Microsoft Sentinel>Configurazione>Watchlist.

  2. Selezionare la watchlist da modificare.

  3. Nel riquadro dei dettagli selezionare Aggiorna watchlist>Aggiornamento bulk.

    Screenshot dell'opzione di aggiornamento in blocco nella parte inferiore del riquadro dei dettagli.

  4. In Carica file, trascinare o selezionare il file da caricare.

    Screenshot della pagina di origine della procedura guidata watchlist in cui si seleziona il file da caricare e il campo della chiave di ricerca è disabilitato.

  5. Se viene visualizzato un errore, correggere il problema nel file. Selezionare quindi Reimposta e riprovare a caricare il file.

  6. Selezionare Avanti: Rivedi e aggiorna>Aggiorna.

Contenuto correlato

Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti: