Creare un watchlist

  • 4 minuti

Per creare una watchlist dal portale di Azure seguire questa procedura:

  1. Passare a Microsoft Sentinel > Configurazione > Watchlist e selezionare Aggiungi nuovo.

    Screen shot of creating a Sentinel Watchlist List.

  2. Nella pagina Generale specificare il nome, la descrizione e l'alias del watchlist, quindi selezionare Avanti.

  3. Nella pagina Origine selezionare il tipo di set di dati, caricare un file e quindi selezionare Avanti.

    Nota

    I caricamenti di file sono attualmente limitati a file con dimensioni massime di 3,8 MB.

  4. Esaminare le informazioni, verificare che siano corrette, quindi selezionare Crea. Quando il watchlist è pronto, viene visualizzata una notifica.

Per usare i dati del watchlist in KQL, usare la funzione KQL _GetWatchlist ('nome watchlist').

_GetWatchlist('HighValueMachines')