Microsoft Sentinel でウォッチリストを作成する

  • [アーティクル]
  • 適用対象:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel のウォッチリストを使用すると、指定したデータ ソースのデータを Microsoft Sentinel 環境内のイベントと関連付けることができます。 たとえば、環境内の価値の高い資産、退職した従業員、またはサービス アカウントの一覧を含むウォッチリストを作成できます。

ウォッチリスト ファイルは、ローカル フォルダーまたは Azure ストレージ アカウントからアップロードします。 ウォッチリスト ファイルを作成する方法の 1 つは、Microsoft Sentinel からいずれかのウォッチリスト テンプレートをダウンロードし、必要なデータを設定することです。 次に、Microsoft Sentinel でウォッチリストを作成するときに、そのファイルをアップロードします。

現在、ローカル ファイルのアップロードは、最大 3.8 MB のファイルに制限されています。 サイズが 3.8 MB より大きく 500 MB 以下のファイルは、大規模なウォッチリストと見なされます。 そのようなファイルは、Azure Storage アカウントにアップロードします。 ウォッチリストを作成する前に、ウォッチリストの制限事項を確認してください。

重要

ウォッチリスト テンプレートの機能と Azure Storage 内のファイルからウォッチリストを作成する機能は、現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームのパブリック プレビューの一部として利用できます。 詳細については、Microsoft Defender ポータルの Microsoft Sentinel に関する記事を参照してください。

ローカル フォルダーからウォッチリストをアップロードする

ローカル コンピューターから CSV ファイルをアップロードしてウォッチリストを作成する方法は 2 つあります。

  • ウォッチリスト テンプレートを使わずにウォッチリスト ファイルを作成した場合: [新規追加] を選択して必要な情報を入力します。
  • Microsoft Sentinel からテンプレートをダウンロードしてウォッチリスト ファイルを作成した場合: ウォッチリストの [テンプレート (プレビュー)] タブに移動し、[テンプレートから作成] オプションを選択します。 名前、説明、ウォッチリスト エイリアスが Azure によって事前設定されます。

作成したファイルからウォッチリストをアップロードする

ファイルの作成にウォッチリスト テンプレートを使用しない場合は次のようにします。

  1. Azure portal の Microsoft Sentinel の場合、[構成] の下にある [ウォッチリスト] を選びます。
    Defender ポータルの Microsoft Sentinel の場合、[Microsoft Sentinel]>[構成]>[ウォッチリスト] を選びます。

  2. [+新規] を選択します。

  3. [全般] ページで、そのウォッチリストの名前、説明、および別名を指定します。

    ウォッチリスト ウィザードのウォッチリストの [全般] タブのスクリーンショット。

  4. [Next: Source](次へ: ソース) を選択します。

  5. ウォッチリスト データをアップロードするには、次の表の情報を使用します。

    フィールド 説明
    データセットの種類を選択する ヘッダー付き CSV ファイル (.csv)
    見出しを含む行の前の行数 データ ファイル内のヘッダー行の前の行数を入力します。
    ファイルをアップロードする データ ファイルをドラッグ アンド ドロップするか、[ファイルの参照] を選択してアップロードするファイルを選択します。
    SearchKey 他のデータとの結合、または頻繁な検索オブジェクトとして使用するウォッチリスト内の列の名前を入力します。 たとえば、サーバー ウォッチリストに国名とそれぞれの 2 文字の国番号が含まれていて、検索または結合に国番号を頻繁に使用することが想定される場合は、SearchKey として [コード] 列を使用します。

    Note

    CSV ファイルが 3.8 MB を超える場合は、Azure Storage 内のファイルから大きなウォッチリストを作成するための手順を使用する必要があります。

  6. [次へ: 確認と作成] を選択します。

    ウォッチリストの [ソース] タブを示すスクリーンショット。

  7. 情報を確認し、正しいことを確認し、[検証に成功しました] メッセージが表示されるのを待ってから、[作成] を選択します。

    ウォッチリストのレビュー ページのスクリーンショット。

    ウォッチリストが作成されると、通知が表示されます。

ウォッチリストが作成されて新しいデータがクエリで利用できるようになるまでには数分かかる場合があります。

テンプレートから作成したウォッチリストをアップロードする (プレビュー)

データを設定したテンプレートからウォッチリストを作成するには、次のようにします。

  1. Azure portal の Microsoft Sentinel の場合、[構成] の下にある [ウォッチリスト] を選びます。
    Defender ポータルの Microsoft Sentinel の場合、[Microsoft Sentinel]>[構成]>[ウォッチリスト] を選びます。

  2. [テンプレート (プレビュー)] タブを選択します。

  3. 一覧から適切なテンプレートを選択すると、右側のペインにテンプレートの詳細が表示されます。

  4. [テンプレートから作成] を選択します。

    組み込みのテンプレートからウォッチリストを作成するオプションのスクリーンショット。

  5. [全般] タブで、[名前][説明][ウォッチリスト エイリアス] フィールドはすべて読み取り専用です。

  6. [ソース] タブで[ファイルの参照] を選択し、テンプレートから作成したファイルを選択します。

  7. [次へ: 確認と作成]>[作成] を選択します。

  8. ウォッチリストが作成されたときに届く Azure 通知を監視します。

ウォッチリストが作成されて新しいデータがクエリで利用できるようになるまでには数分かかる場合があります。

Azure Storage 内のファイルから大きなウォッチリストを作成する (プレビュー)

ウォッチリストのサイズが大きい場合 (最大 500 MB) は、Azure ストレージ アカウントにウォッチリスト ファイルをアップロードします。 次に、Microsoft Sentinel の Shared Access Signature URL を作成してウォッチリスト データを取得します。 Shared Access Signature URL とは、リソースの URI とリソース (ストレージ アカウント内の CSV ファイルなど) の Shared Access Signature トークンの両方を含んだ URI です。 最後に、ウォッチリストを Microsoft Sentinel のワークスペースに追加します。

Shared Access Signature の詳細については、Azure Storage の Shared Access Signature トークンに関するセクションを参照してください。

手順 1: ウォッチリスト ファイルを Azure Storage にアップロードする

大きなウォッチリスト ファイルを Azure ストレージ アカウントにアップロードするには、AzCopy または Azure portal を使用します。

  1. まだ Azure ストレージ アカウントをお持ちでない場合は、ストレージ アカウントを作成します。 ストレージ アカウントのリソース グループとリージョンは、Microsoft Sentinel のワークスペースと異なっていてもかまいません。
  2. AzCopy または Azure portal を使用して、ウォッチリスト データを含んだ CSV ファイルをストレージ アカウントにアップロードします。

AzCopy でファイルをアップロードする

AzCopy v10 コマンド ライン ユーティリティを使用して、BLOB ストレージにファイルやディレクトリをアップロードします。 詳細については、「AzCopy を使用して Azure BLOB ストレージにファイルをアップロードする」を参照してください。

  1. ストレージ コンテナーをまだお持ちでない場合は、次のコマンドを実行して作成します。

    azcopy make 
https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>

  2. 次に、次のコマンドを実行してファイルをアップロードします。

    azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'

Azure portal でファイルをアップロードする

AzCopy を使用しない場合は、Azure portal を使用してファイルをアップロードします。 Azure portal でストレージ アカウントに移動して、ウォッチリスト データを含んだ CSV ファイルをアップロードします。

  1. 既存のストレージ コンテナーがまだない場合は、コンテナーを作成します。 コンテナーへのパブリック アクセスのレベルには、[プライベート (匿名アクセスなし)] に設定された既定のレベルをお勧めします。
  2. ブロック BLOB をアップロードして、CSV ファイルをストレージ アカウントにアップロードします。

手順 2: Shared Access Signature URL を作成する

Microsoft Sentinel の Shared Access Signature URL を作成してウォッチリスト データを取得します。

  1. Azure portal で BLOB の SAS トークンを作成する」の手順に従います。
  2. Shared Access Signature トークンの有効期限を最低でも 6 時間に設定します。
  3. [使用できる IP アドレス] は既定値である空白のままにします。
  4. [BLOB SAS URL] の値をコピーします。

手順 3: [CORS] タブに Azure を追加する

SAS URI を使う前に、Azure portal をクロス オリジン リソース共有 (CORS) に追加します。

  1. ストレージ アカウントの設定の [リソースの共有] ページに移動します。
  2. [Blob service] タブを選びます。
  3. 許可されたオリジンのテーブルに https://*.portal.azure.net を追加します。
  4. 適切な [許可されたメソッド] として GETOPTIONS を選びます。
  5. 構成を保存します。

詳しくは、Azure Storage での CORS のサポートに関する記事をご覧ください。

手順 4: ウォッチリストをワークスペースに追加する

  1. Azure portal の Microsoft Sentinel の場合、[構成] の下にある [ウォッチリスト] を選びます。
    Defender ポータルの Microsoft Sentinel の場合、[Microsoft Sentinel]>[構成]>[ウォッチリスト] を選びます。

  2. [+新規] を選択します。

    [ウォッチリスト] ページのウォッチリスト追加のスクリーンショット。

  3. [全般] ページで、そのウォッチリストの名前、説明、および別名を指定します。

    名前、説明、ウォッチリストのエイリアス フィールドを含むウォッチリストの [全般] タブのスクリーンショット。

  4. [Next: Source](次へ: ソース) を選択します。

  5. ウォッチリスト データをアップロードするには、次の表の情報を使用します。

    フィールド 説明
    送信元の種類 Azure Storage (プレビュー)
    データセットの種類を選択する ヘッダー付き CSV ファイル (.csv)
    見出しを含む行の前の行数 データ ファイル内のヘッダー行の前の行数を入力します。
    BLOB SAS URL (プレビュー) 作成した共有アクセス URL を貼り付けます。
    SearchKey 他のデータとの結合、または頻繁な検索オブジェクトとして使用するウォッチリスト内の列の名前を入力します。 たとえば、サーバー ウォッチリストに国名とそれぞれの 2 文字の国番号が含まれていて、検索または結合に国番号を頻繁に使用することが想定される場合は、SearchKey として [コード] 列を使用します。

    すべての情報を入力すると、ページは次の画像のようになります。

    サンプル値が入力されたウォッチリスト ソース ページのスクリーンショット。

  6. [次へ: 確認と作成] を選択します。

  7. 情報を確認し、正しいことを確認して、"検証に成功しました" メッセージが表示されるのを待ちます。

  8. [作成] を選択します

ウォッチリストが作成されて新しいデータがクエリで利用できるようになるまでにはしばらく時間がかかる場合があります。

ウォッチリストの状態を確認する

ワークスペースでウォッチリストを選択して状態を確認します。

  1. Azure portal の Microsoft Sentinel の場合、[構成] の下にある [ウォッチリスト] を選びます。
    Defender ポータルの Microsoft Sentinel の場合、[Microsoft Sentinel]>[構成]>[ウォッチリスト] を選びます。

  2. [マイ ウォッチリスト] タブでウォッチリストを選択します。

  3. 詳細ページで [状態 (プレビュー)] を確認します。

    ウォッチリストでのアップロード状態を示すスクリーンショット。

  4. 成功の状態になったら、ウォッチリストをクエリで使用するために [Log Analytics で表示] を選択します。 ウォッチリストが Log Analytics に表示されるまでには数分かかる場合があります。

    スクリーンショット

ウォッチリスト テンプレートをダウンロードする (プレビュー)

Microsoft Sentinel からウォッチリスト テンプレートのいずれかをダウンロードして、データを設定します。 次に、Microsoft Sentinel でウォッチリストを作成するときに、そのファイルをアップロードします。

各組み込みウォッチリスト テンプレートには、テンプレートにアタッチされた CSV ファイルに一覧表示されている、独自のデータのセットがあります。 詳細については、組み込みウォッチリスト スキーマに関するページを参照してください。

ウォッチリスト テンプレートのいずれかをダウンロードするには、次のようにします。

  1. Azure portal の Microsoft Sentinel の場合、[構成] の下にある [ウォッチリスト] を選びます。
    Defender ポータルの Microsoft Sentinel の場合、[Microsoft Sentinel]>[構成]>[ウォッチリスト] を選びます。

  2. [テンプレート (プレビュー)] タブを選択します。

  3. 一覧からテンプレートを選択すると、右側のペインにテンプレートの詳細が表示されます。

  4. 行の末尾にある省略記号 [...] を選択します。

  5. [スキーマをダウンロード] を選択します。

    ダウンロード スキーマが選択されている [テンプレート] タブのスクリーンショット。

  6. ローカル バージョンのファイルにデータを設定し、CSV ファイルとしてローカルに保存します。

  7. テンプレートから作成したウォッチリストをアップロードする (プレビュー)」の手順に従います。

Log Analytics ビューでウォッチリストを削除して再作成する

ウォッチリストを削除して再作成した場合、データ インジェストの 5 分間の SLA 内に、削除済みと再作成済みの両方のエントリが Log Analytics に表示される場合があります。 これらのエントリが Log Analytics に一緒に長時間表示される場合は、サポート チケットを送信してください。

関連するコンテンツ

Microsoft Azure Sentinel の詳細については、次の記事を参照してください。