Microsoft Sentinel でウォッチリストを管理する

ウォッチリストを削除して再作成するのではなく、既存のウォッチリストを編集することをお勧めします。 Log Analytics には、データ インジェストに対して 5 分間の SLA があります。 ウォッチリストを削除して再作成した場合、この 5 分間の期間に、削除と再作成の両方のエントリが Log Analytics に表示される可能性があります。 これらの重複するエントリが Log Analytics により長い期間表示される場合は、サポート チケットを送信してください。

ウォッチリスト項目を編集する

ウォッチリストを編集して、項目を編集するか、ウォッチリストに追加します。

1. Azure portal の Microsoft Sentinel の場合、[構成] の下にある [ウォッチリスト] を選びます。
   Defender ポータルの Microsoft Sentinel の場合、[Microsoft Sentinel]>[構成]>[ウォッチリスト] を選びます。

2. 編集するウォッチリストを選択します。

3. 詳細ウィンドウで、[ウォッチリストの更新]>[ウォッチリスト アイテムの編集] の順に選択します。

   

4. 既存のウォッチリスト項目を編集するには

   1. そのウォッチリスト項目のチェック ボックスをオンにします。

   2. 項目を編集します。

   3. [保存] を選択します。

      

   4. 確認を求められたら [はい] を選択します。

      

5. ウォッチリストに新しい項目を追加するには

   1. [新規追加] を選択します。

      

   2. [ウォッチリスト項目の追加] パネルのフィールドに入力します。

   3. パネルの下部にある [追加] を選択します。

ウォッチリストを一括更新する

ウォッチリストに追加するアイテムが多数ある場合は、一括更新を使用します。 ウォッチリストの一括更新を実行すると、既存のウォッチリストにアイテムが追加されます。 次に、各列の値がすべて一致する場合は、ウォッチリストのアイテムが重複除去されます。

ウォッチリスト ファイルから 1 つのアイテムを削除してアップロードした場合、一括更新を実行しても、既存のウォッチリストからそのアイテムは削除されません。 ウォッチリスト アイテムは、個別に削除します。 または、削除が多数ある場合は、ウォッチリストを削除して再作成します。

アップロードする更新済みウォッチリスト ファイルには、ウォッチリストで使用される検索キー フィールドが、空白の値がない状態で含まれていなくてはなりません。

ウォッチリストを一括更新するには、次の手順を実行します。

1. Azure portal の Microsoft Sentinel の場合、[構成] の下にある [ウォッチリスト] を選びます。
   Defender ポータルの Microsoft Sentinel の場合、[Microsoft Sentinel]>[構成]>[ウォッチリスト] を選びます。

2. 編集するウォッチリストを選択します。

3. 詳細ウィンドウで、[ウォッチリストの更新]>[一括更新] の順に選択します。

   

4. [ファイルのアップロード] で、アップロードするファイルをドラッグ アンド ドロップするか、参照します。

   

5. エラーが発生した場合は、ファイルの問題を修正します。 次に、[リセット] を選択し、ファイルのアップロードを再試行します。

6. [次へ: 確認と更新]>[更新] の順に選択します。

関連するコンテンツ

Microsoft Sentinel の詳細については、次の記事を参照してください。

• Microsoft Sentinel でウォッチリストを使用する
• データと潜在的な脅威を可視化する方法についての説明。
• Microsoft Sentinel を使用した脅威の検出の概要。
• ブックを使用してデータを監視する。