ウォッチリストを作成する

  • 4 分

Azure portal からウォッチリストを作成するには、次の手順に従います。

  1. [Microsoft Sentinel]、[構成]、[ウォッチリスト] の順にアクセスし、[新規追加] を選択します。

    Screen shot of creating a Sentinel Watchlist List.

  2. [全般] ページで、ウォッチリストの名前、説明、および別名を指定し、[次へ] を選択します。

  3. [ソース] ページで、データセットの種類を選択し、ファイルをアップロードして、[次へ] を選択します。

    注意

    現在、ファイルのアップロードは、最大 3.8 MB のファイルに制限されています。

  4. 次に情報を見直し、それが正しいことを確認してから、[作成] を選択します。 ウォッチリストの準備が完了すると、通知が表示されます。

KQL でウォッチリストのデータを使用するには、KQL の関数 _GetWatchlist('watchlist name') を使用します。

_GetWatchlist('HighValueMachines')