Gérer des watchlists dans Microsoft Sentinel

Nous vous recommandons de modifier une watchlist existante au lieu de la supprimer et d’en recréer une. Log Analytics a un contrat SLA de cinq minutes pour l’ingestion des données. Si vous supprimez et recréez une watchlist, vous pouvez voir les entrées supprimées et recréées dans Log Analytics pendant cette fenêtre de cinq minutes. Si vous voyez ces entrées en double dans Log Analytics pendant plus longtemps, envoyez un ticket de support.

Important

Microsoft Sentinel est disponible dans le cadre de la préversion publique de la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Modifier un élément de watchlist

Modifiez une watchlist pour y modifier ou y ajouter un élément.

  1. Pour Microsoft Sentinel dans le Portail Microsoft Azure, sous Configuration, sélectionnez Watchlist.
    Pour Microsoft Sentinel dans le Portail Defender, sélectionnez Microsoft Sentinel>Configuration>Watchlist.

  2. Sélectionnez la watchlist à modifier.

  3. Dans le volet d’informations, sélectionnez Mettre à jour une watchlist>Modifier les éléments d’une watchlist.

    Capture d’écran de l’option Modifier la watchlist en bas du volet d’informations.

  4. Pour modifier un élément de watchlist existant,

    1. Cochez la case de cet élément de watchlist.

    2. Modifiez l’élément.

    3. Sélectionnez Enregistrer.

      Capture d’écran montrant comment marquer et modifier un élément Watchlist.

    4. Cliquez sur Oui à l’invite de confirmation.

      Capture d’écran de l’invite de confirmation de vos modifications.

  5. Pour ajouter un nouvel élément à votre watchlist,

    1. Sélectionnez Ajouter.

      Capture d’écran du nouveau bouton en haut de la page Modifier les éléments de watchlist.

    2. Renseignez les champs dans le panneau Ajouter un élément de watchlist.

    3. En bas du panneau, sélectionnez Ajouter.

Mettre à jour une watchlist en bloc

Lorsque vous avez un grand nombre d’éléments à ajouter à une watchlist, utilisez la mise à jour en bloc. La mise à jour en bloc d’une watchlist ajoute des éléments à la watchlist existante. Elle annule ensuite la duplication des éléments dans la watchlist où toutes les valeurs dans chaque colonne correspondent.

Si vous avez supprimé un élément du fichier de votre watchlist et que vous l’avez chargé, la mise à jour en bloc ne supprimera pas l’élément dans la watchlist existante. Supprimer l’élément de watchlist individuellement. Ou, si vous avez de nombreuses suppressions à appliquer, supprimez et recréez la watchlist.

Le fichier de watchlist mis à jour que vous chargez doit contenir le champ de clé de recherche utilisé par la watchlist sans aucune valeur vide.

Pour mettre à jour une watchlist en bloc,

  1. Pour Microsoft Sentinel dans le Portail Microsoft Azure, sous Configuration, sélectionnez Watchlist.
    Pour Microsoft Sentinel dans le Portail Defender, sélectionnez Microsoft Sentinel>Configuration>Watchlist.

  2. Sélectionnez la watchlist à modifier.

  3. Dans le volet d’informations, sélectionnez Mettre à jour une watchlist>Mise à jour en bloc.

    Capture d’écran de l’option de mise à jour en bloc en bas du volet d’informations.

  4. Sous Charger le fichier, glissez-déplacez le fichier à charger ou accédez-y.

    Capture d’écran de la page source de l’Assistant Watchlist dans laquelle vous sélectionnez le fichier à charger et où le champ de clé de recherche est désactivé.

  5. Si vous recevez une erreur, corrigez le problème dans le fichier. Sélectionnez ensuite Réinitialiser, puis réessayez de charger le fichier.

  6. Sélectionnez Suivant : Vérifier et créer>Mettre à jour.

Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :