Freigeben über

Verwalten von Watchlists in Microsoft Sentinel

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Es wird empfohlen, eine vorhandene Watchlist zu bearbeiten, anstatt eine Watchlist zu löschen und neu zu erstellen. Log Analytics verfügt über eine SLA von fünf Minuten für die Datenerfassung. Wenn Sie eine Watchlist löschen und neu erstellen, werden in diesem fünfminütigen Fenster möglicherweise sowohl die gelöschten als auch die neu erstellten Einträge in Log Analytics angezeigt. Wenn diese doppelten Einträge für einen längeren Zeitraum in Log Analytics angezeigt werden, übermitteln Sie ein Supportticket.

Wichtig

Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz.

Ab Juli 2026 werden alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, auf das Defender-Portal umgeleitet und verwenden nur Microsoft Sentinel im Defender-Portal. Ab Juli 2025 werden viele neue Kunden automatisch eingebunden und zum Defender-Portal umgeleitet.

Wenn Sie Microsoft Sentinel weiterhin im Azure-Portal verwenden, empfehlen wir Ihnen, mit der Planung Ihres Übergangs zum Defender-Portal zu beginnen, um einen reibungslosen Übergang sicherzustellen und die von Microsoft Defender angebotene einheitliche Sicherheitsvorgänge zu nutzen. Weitere Informationen finden Sie unter "Zeit zum Verschieben: Zurückstellen des Azure-Portals von Microsoft Sentinel für größere Sicherheit".

Bearbeiten eines Watchlist-Elements

Bearbeiten Sie eine Watchlist, um ein Element zu bearbeiten oder der Watchlist hinzuzufügen.

  1. Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel >Konfigurationsanalyse>Watchlist aus. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Konfiguration die Option Watchlist aus.

  2. Wählen Sie die Watchlist aus, die Sie bearbeiten möchten.

  3. Wählen Sie im Detailbereich Watchlist aktualisieren>Watchlist-Elemente bearbeiten aus.

    Screenshot: Option „Watchlist bearbeiten“ am unteren Rand des Detailbereichs.

  4. So bearbeiten Sie ein vorhandenes Watchlistelement

    1. Aktivieren Sie das Kontrollkästchen dieses Watchlistelements.

    2. Bearbeiten Sie das Element.

    3. Wählen Sie Speichern aus.

      Screenshot: Markieren und Bearbeiten eines Watchlist-Elements.

    4. Wählen Sie bei der Aufforderung zur Bestätigung Ja aus.

      Screenshot: Eingabeaufforderung zum Bestätigen der Änderungen.

  5. So fügen Sie Ihrer Watchlist ein neues Element hinzu

    1. Wählen Sie Neue hinzufügen aus.

      Screenshot der neuen Schaltfläche oben auf der Seite „Watchlist-Elemente bearbeiten“.

    2. Füllen Sie die Felder im Bereich Watchlistelement hinzufügen aus.

    3. Wählen Sie unten im Bereich Hinzufügen aus.

Massenaktualisierung einer Watchlist

Wenn Sie einer Watchlist viele Elemente hinzufügen müssen, verwenden Sie die Massenaktualisierung. Bei einer Massenaktualisierung einer Watchlist werden Elemente an die vorhandene Watchlist angefügt. Anschließend werden die Elemente in der Watchlist dedupliziert, bei denen alle Werte in jeder Spalte übereinstimmen.

Wenn Sie ein Element aus Ihrer Watchlist-Datei gelöscht und hochgeladen haben, wird das Element in der vorhandenen Watchlist nicht durch die Massenaktualisierung gelöscht. Löschen Sie das Watchlist-Element einzeln. Wenn viele Löschvorgänge durchzuführen sind, löschen Sie die Watchlist, und erstellen Sie sie neu.

Die aktualisierte Watchlist-Datei, die Sie hochladen, muss das Suchschlüsselfeld enthalten, das von der Watchlist ohne leere Werte verwendet wird.

So führen Sie die Massenaktualisierung für eine Watchlist durch:

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Konfiguration die Option Watchlist aus.
    Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel >Konfigurationsanalyse>Watchlist aus.

  2. Wählen Sie die Watchlist aus, die Sie bearbeiten möchten.

  3. Wählen Sie im Detailbereich Watchlist aktualisieren>Massenaktualisierung aus.

    Screenshot: Option „Massenupdate“ am unteren Rand des Detailbereichs.

  4. Ziehen Sie unter Datei hochladen die hochzuladende Datei per Drag & Drop oder suchen Sie nach ihr.

    Screenshot: Quellseite des Watchlist-Assistenten, auf der Sie die Datei zum Hochladen auswählen und auf der das Suchschlüsselfeld deaktiviert ist.

  5. Wenn sie einen Fehler erhalten, beheben Sie das Problem in der Datei. Wählen Sie dann Zurücksetzen aus, und wiederholen Sie den Dateiupload.

  6. Wählen Sie Weiter: Überprüfen und aktualisieren>Aktualisieren aus.

Zugehöriger Inhalt

Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln:

  • Last updated on