次の方法で共有

Microsoft Sentinel でウォッチリストを管理する

  • [アーティクル]
  • 適用対象:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

ウォッチリストを削除して再作成するのではなく、既存のウォッチリストを編集することをお勧めします。 Log Analytics には、データ インジェストに対して 5 分間の SLA があります。 ウォッチリストを削除して再作成した場合、この 5 分間の期間に、削除と再作成の両方のエントリが Log Analytics に表示される可能性があります。 これらの重複するエントリが Log Analytics により長い期間表示される場合は、サポート チケットを送信してください。

重要

Microsoft Sentinel は、Microsoft Defender ポータルの Microsoft の統合セキュリティ オペレーション プラットフォーム内で一般提供されています。 プレビューの場合、Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスなしで Defender ポータルで使用できます。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

ウォッチリスト項目を編集する

ウォッチリストを編集して、項目を編集するか、ウォッチリストに追加します。

  1. Azure portal の Microsoft Sentinel の場合、[構成] の下にある [ウォッチリスト] を選びます。
    Defender ポータルの Microsoft Sentinel の場合、[Microsoft Sentinel]>[構成]>[ウォッチリスト] を選びます。

  2. 編集するウォッチリストを選択します。

  3. 詳細ウィンドウで、[ウォッチリストの更新]>[ウォッチリスト アイテムの編集] の順に選択します。

    詳細ウィンドウの下部にあるウォッチリストの編集オプションのスクリーンショット。

  4. 既存のウォッチリスト項目を編集するには

    1. そのウォッチリスト項目のチェック ボックスをオンにします。

    2. 項目を編集します。

    3. [保存] を選択します。

      ウォッチリスト アイテムにマークを付けて編集する方法を示すスクリーンショット。

    4. 確認を求められたら [はい] を選択します。

      変更を確認するプロンプトのスクリーンショット。

  5. ウォッチリストに新しい項目を追加するには

    1. [新規追加] を選択します。

      ウォッチリスト項目の編集ページの上部にある [新規追加] ボタンのスクリーンショット。

    2. [ウォッチリスト項目の追加] パネルのフィールドに入力します。

    3. パネルの下部にある [追加] を選択します。

ウォッチリストを一括更新する

ウォッチリストに追加するアイテムが多数ある場合は、一括更新を使用します。 ウォッチリストの一括更新を実行すると、既存のウォッチリストにアイテムが追加されます。 次に、各列の値がすべて一致する場合は、ウォッチリストのアイテムが重複除去されます。

ウォッチリスト ファイルから 1 つのアイテムを削除してアップロードした場合、一括更新を実行しても、既存のウォッチリストからそのアイテムは削除されません。 ウォッチリスト アイテムは、個別に削除します。 または、削除が多数ある場合は、ウォッチリストを削除して再作成します。

アップロードする更新済みウォッチリスト ファイルには、ウォッチリストで使用される検索キー フィールドが、空白の値がない状態で含まれていなくてはなりません。

ウォッチリストを一括更新するには、次の手順を実行します。

  1. Azure portal の Microsoft Sentinel の場合、[構成] の下にある [ウォッチリスト] を選びます。
    Defender ポータルの Microsoft Sentinel の場合、[Microsoft Sentinel]>[構成]>[ウォッチリスト] を選びます。

  2. 編集するウォッチリストを選択します。

  3. 詳細ウィンドウで、[ウォッチリストの更新]>[一括更新] の順に選択します。

    詳細ウィンドウの下部にある [一括更新] オプションのスクリーンショット。

  4. [ファイルのアップロード] で、アップロードするファイルをドラッグ アンド ドロップするか、参照します。

    アップロードするファイルが選択されており、検索キー フィールドが無効になっているウォッチリスト ウィザードのソース ページのスクリーンショット。

  5. エラーが発生した場合は、ファイルの問題を修正します。 次に、[リセット] を選択し、ファイルのアップロードを再試行します。

  6. [次へ: 確認と更新]>[更新] の順に選択します。

関連するコンテンツ

Microsoft Sentinel の詳細については、次の記事を参照してください。