Udostępnij przez

Zarządzanie listami do obejrzenia w usłudze Microsoft Sentinel

  • Dotyczy: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Zalecamy edytowanie istniejącej listy obserwowanych zamiast usuwania i ponownego tworzenia listy obserwowanych. Usługa Log Analytics ma umowę SLA z pięciominutową umową SLA na potrzeby pozyskiwania danych. Jeśli usuniesz i ponownie utworzysz listę obserwowanych, w tym pięciominutowym oknie będą widoczne zarówno usunięte, jak i ponownie utworzone wpisy w usłudze Log Analytics. Jeśli te zduplikowane wpisy w usłudze Log Analytics będą widoczne przez dłuższy czas, prześlij bilet pomocy technicznej.

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.

Począwszy od lipca 2026 r., wszyscy klienci korzystający z usługi Microsoft Sentinel w witrynie Azure Portal zostaną przekierowani do portalu usługi Defender i będą używać usługi Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych klientów jest automatycznie dołączanych i przekierowywanych do portalu usługi Defender.

Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).

Edytowanie elementu listy obserwowanych

Edytuj listę obserwowanych, aby edytować lub dodać element do listy obserwowanych.

  1. W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Microsoft Sentinel>Konfiguracja>Lista obserwacyjna. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Konfiguracja wybierz pozycję Lista obserwowana.

  2. Wybierz listę obserwowanych, którą chcesz edytować.

  3. W okienku szczegółów wybierz pozycję Aktualizuj listę> obserwowanychEdytuj elementy listy obserwowanych.

    Zrzut ekranu przedstawiający opcję edycji listy obserwowanych w dolnej części okienka szczegółów.

  4. Aby edytować istniejący element listy obserwowanych,

    1. Zaznacz pole wyboru tego elementu listy obserwowanych.

    2. Edytuj element.

    3. Wybierz pozycję Zapisz.

      Zrzut ekranu przedstawiający sposób oznaczania i edytowania elementu listy obserwowanych.

    4. Wybierz pozycję Tak po wyświetleniu monitu o potwierdzenie.

      Zrzut ekranu przedstawiający monit o potwierdzenie zmian.

  5. Aby dodać nowy element do listy obserwowanych,

    1. Wybierz Dodaj nową.

      Zrzut ekranu przedstawiający nowy przycisk w górnej części strony edytuj elementy listy obserwowanych.

    2. Wypełnij pola panelu Dodawanie elementu listy do obejrzenia .

    3. W dolnej części tego panelu wybierz pozycję Dodaj.

Zbiorcze aktualizowanie listy obserwowanych

Jeśli masz wiele elementów do dodania do listy obserwowanych, użyj aktualizacji zbiorczej. Zbiorcza aktualizacja listy obserwowanych dołącza elementy do istniejącej listy obserwowanych. Następnie usuwa duplikaty elementów na liście obserwowanych, gdzie wszystkie wartości w każdej kolumnie są zgodne.

Jeśli element został usunięty z pliku listy obserwowanych i przekazany, aktualizacja zbiorcza nie usunie elementu z istniejącej listy obserwowanych. Usuń element listy obserwowanych indywidualnie. Lub, gdy masz wiele operacji usuwania, usuń i ponownie utwórz listę do obejrzenia.

Zaktualizowany przekazany plik listy obserwowanych musi zawierać pole klucza wyszukiwania używane przez listę obserwowanych bez pustych wartości.

Aby zbiorczo zaktualizować listę obserwowanych,

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Konfiguracja wybierz pozycję Lista obserwowana.
    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Microsoft Sentinel>Konfiguracja>Lista obserwacyjna.

  2. Wybierz listę obserwowanych, którą chcesz edytować.

  3. W okienku szczegółów wybierz pozycję Aktualizuj listę obserwowanych>Aktualizacja zbiorcza.

    Zrzut ekranu przedstawiający opcję aktualizacji zbiorczej w dolnej części okienka szczegółów.

  4. W obszarze Przekaż plik przeciągnij i upuść lub przejdź do pliku, aby go przekazać.

    Zrzut ekranu strony źródłowej kreatora listy obserwowanych, gdzie wybierasz plik do przesłania, a pole klucza wyszukiwania jest wyłączone.

  5. Jeśli wystąpi błąd, rozwiąż problem w pliku. Następnie wybierz pozycję Resetuj i spróbuj ponownie przekazać plik.

  6. Wybierz Dalej: Przejrzyj i zaktualizuj>Aktualizuj.

Powiązana zawartość

Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:

  • Last updated on