Administración de listas de reproducción en Microsoft Sentinel

Se recomienda editar una lista de reproducción existente en lugar de eliminar y volver a crear una lista de reproducción. Log Analytics tiene un acuerdo de nivel de servicio de cinco minutos para la ingesta de datos. Si elimina y vuelve a crear una lista de reproducción, es posible que vea las entradas eliminadas y recreadas en Log Analytics durante esta ventana de cinco minutos. Si ve estas entradas duplicadas en Log Analytics durante un período de tiempo más largo, envíe una incidencia de soporte técnico.

Edición de un elemento de lista de reproducción

Edite una lista de reproducción para editar o agregar un elemento a la lista de reproducción.

1. Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Configuración>de la lista de seguimiento. Para Microsoft Sentinel en el Azure Portal, en Configuración, seleccione Lista de reproducción.

2. Seleccione la lista de reproducción que desea editar.

3. En el panel de detalles, seleccione Actualizar lista de reproducción>Editar elementos de la lista de reproducción.

   

4. Para editar un elemento de lista de reproducción existente,

   1. Active la casilla de ese elemento de la lista de reproducción.

   2. Edite el elemento.

   3. Haga clic en Guardar.

      

   4. Seleccione Sí en el símbolo del sistema de confirmación.

      

5. Para agregar un nuevo elemento a la lista de reproducción,

   1. Seleccione Agregar nuevo.

      

   2. Rellene los campos del panel Agregar elemento de lista de reproducción .

   3. En la parte inferior de ese panel, seleccione Agregar.

Actualización masiva de una lista de reproducción

Cuando tenga muchos elementos para agregar a una lista de reproducción, use la actualización masiva. Una actualización masiva de una lista de reproducción anexa elementos a la lista de reproducción existente. A continuación, desduplica los elementos de la lista de reproducción donde coincide todo el valor de cada columna.

Si ha eliminado un elemento del archivo de lista de reproducción y lo ha cargado, la actualización masiva no eliminará el elemento en la lista de reproducción existente. Elimine el elemento de la lista de reproducción individualmente. O bien, cuando tenga muchas eliminaciones, elimine y vuelva a crear la lista de reproducción.

El archivo de lista de reproducción actualizado que cargue debe contener el campo de clave de búsqueda que usa la lista de reproducción sin valores en blanco.

Para actualizar de forma masiva una lista de reproducción,

1. Para Microsoft Sentinel en el Azure Portal, en Configuración, seleccione Lista de reproducción.
   Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Configuración>de la lista de seguimiento.

2. Seleccione la lista de reproducción que desea editar.

3. En el panel de detalles, seleccione Actualizar lista de> reproducciónActualización masiva.

   

4. En Cargar archivo, arrastre y coloque o vaya al archivo que desea cargar.

   

5. Si recibe un error, corrija el problema en el archivo. A continuación, seleccione Restablecer e intente cargar el archivo de nuevo.

6. Seleccione Siguiente: Revisar y actualizar>actualización.

Contenido relacionado

Para obtener más información sobre Microsoft Sentinel, consulte los artículos siguientes:

• Uso de listas de reproducción en Microsoft Sentinel
• Obtenga información sobre cómo obtener visibilidad sobre los datos y las posibles amenazas.
• Empiece a detectar amenazas con Microsoft Sentinel.
• Use libros para supervisar los datos.