Gerenciar listas de observação no Microsoft Sentinel

Recomendamos que você edite uma lista de observação existente em vez de excluir e recriar uma lista de observação. A análise de log tem um SLA de cinco minutos para ingestão de dados. Se você excluir e recriar uma lista de observação, poderá ver as entradas excluídas e recriadas no Log Analytics durante essa janela de cinco minutos. Se você vir essas entradas duplicadas no Log Analytics por um longo período de tempo, envie um tíquete de suporte.

Editar um item da lista de observação

Edite uma lista de observação para editar ou adicionar um item à lista de observação.

1. Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuration>Watchlist. Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Lista de observação.

2. Selecione a lista de observação que deseja editar.

3. No painel de detalhes, selecione Atualizar lista> de observaçãoEditar itens da lista de observação.

   

4. Para editar um item existente da lista de observação,

   1. Marque a caixa de seleção desse item da lista de observação.

   2. Edite o item.

   3. Selecione Salvar.

      

   4. Selecione Sim no prompt de confirmação.

      Captura de ecrã da mensagem para confirmar as suas alterações.

5. Para adicionar um novo item à sua lista de observação,

   1. Selecione Adicionar novo.

      

   2. Preencha os campos do painel Adicionar item da lista de observação .

   3. Na parte inferior desse painel, selecione Adicionar.

Atualizar em massa uma lista de observação

Quando você tiver muitos itens para adicionar a uma lista de observação, use a atualização em massa. Uma atualização em massa de uma lista de observação acrescenta itens à lista de observação existente. Em seguida, elimina a duplicação dos itens na lista de observação, onde todos os valores em cada coluna correspondem.

Se você excluiu um item do arquivo da lista de observação e o carrega, a atualização em massa não excluirá o item da lista de observação existente. Exclua o item da lista de observação individualmente. Ou, quando você tiver muitas exclusões, exclua e recrie a lista de observação.

O arquivo de lista de observação atualizado que você carrega deve conter o campo de chave de pesquisa usado pela lista de observação sem valores em branco.

Para atualizar em massa uma lista de observação,

1. Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Lista de observação.
   Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuration>Watchlist.

2. Selecione a lista de observação que deseja editar.

3. No painel de detalhes, selecione Atualizar lista de observação>Atualização em massa.

   

4. Em Carregar ficheiro, arraste e largue ou navegue até ao ficheiro a carregar.

   

5. Se você receber um erro, corrija o problema no arquivo. Em seguida, selecione Redefinir e tente carregar o arquivo novamente.

6. Selecione Avançar: Rever e atualizar>Atualizar.

Conteúdos relacionados

Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:

• Usar listas de observação no Microsoft Sentinel
• Saiba como obter visibilidade dos seus dados e potenciais ameaças.
• Comece a detetar ameaças com o Microsoft Sentinel.
• Use pastas de trabalho para monitorizar os seus dados.