Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Вместо удаления и повторного создания списка отслеживания рекомендуется изменить существующий список отслеживания. Log Analytics имеет пятиминутное соглашение об уровне обслуживания для приема данных. При удалении и повторном создании списка отслеживания в этом пятиминутном окне в Log Analytics могут отображаться как удаленные, так и повторно воссоздаемые записи. Если вы видите эти повторяющиеся записи в Log Analytics в течение более длительного периода времени, отправьте запрос в службу поддержки.
Важно!
После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.
Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
Изменение элемента списка отслеживания
Измените список отслеживания, чтобы отредактировать или добавить элемент в список отслеживания.
Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Настройка>контрольного списка. Для Microsoft Sentinel в портал Azure в разделе Конфигурация выберите Список отслеживания.
Выберите список отслеживания, который нужно изменить.
В области сведений выберите Обновить список отслеживания>Изменить элементы списка отслеживания.
Чтобы изменить существующий элемент списка просмотров, выполните команду
Установите флажок этого элемента списка просмотра.
Измените элемент.
Выберите Сохранить.
Выберите Да в запросе на подтверждение.
Чтобы добавить новый элемент в список для просмотра, выполните команду .
Выберите Добавить новый.
Заполните поля панели Добавление элемента списка отслеживания .
В нижней части этой панели выберите Добавить.
Массовое обновление списка отслеживания
Если у вас есть много элементов для добавления в список отслеживания, используйте массовое обновление. При массовом обновлении списка отслеживания элементы добавляются в существующий список отслеживания. Затем он удаляет дубликаты элементов в списке отслеживания, где все значения в каждом столбце совпадают.
Если вы удалили элемент из файла списка отслеживания и отправили его, массовое обновление не приведет к удалению элемента из существующего списка отслеживания. Удалите элемент списка наблюдения по отдельности. Или, если у вас много удалений, удалите и повторно создайте список отслеживания.
Обновленный файл списка отслеживания, который вы отправляете, должен содержать поле ключа поиска, используемое списком отслеживания без пустых значений.
Чтобы выполнить массовое обновление списка отслеживания,
Для Microsoft Sentinel в портал Azure в разделе Конфигурация выберите Список отслеживания.
Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Настройка>контрольного списка.Выберите список отслеживания, который нужно изменить.
В области сведений выберите Обновить список отслеживания>Массовое обновление.
В разделе Отправить файл перетащите или перейдите к файлу для отправки.
Если возникает ошибка, устраните проблему в файле. Затем нажмите кнопку Сброс и повторите попытку отправки файла.
Выберите Далее: проверка и обновление>обновления.
Связанные материалы
Дополнительные сведения о Microsoft Sentinel см. в следующих статьях:
- Использование списков отслеживания в Microsoft Sentinel
- Узнайте, как получить представление о данных и потенциальных угрозах.
- Приступая к обнаружению угроз с помощью Microsoft Sentinel.
- Используйте книги для мониторинга данных.