Microsoft Sentinelでウォッチリストを作成する

  • 適用対象: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Microsoft Sentinelのウォッチリストは、提供するデータ ソースのデータをMicrosoft Sentinel環境内のイベントと関連付けるのに役立ちます。 たとえば、環境内の価値の高い資産、退職した従業員、またはサービス アカウントの一覧を含むウォッチリストを作成できます。

ウォッチリストは、次のいずれかの方法を使用して作成できます。

現在、最大 3.8 MB のサイズのローカル ファイルをアップロードできます。 3.8 MB を超え、最大 500 MB のファイルは、大規模なウォッチリストと見なされます。 大規模なウォッチリストをアップロードするには、Azure ストレージ アカウントにファイルをアップロードします。 ウォッチリストを作成する前に、 ウォッチリストの制限事項を確認してください

Log Analytics Watchlist テーブルのデータは、28 日間保持されます。

重要

ウォッチリスト テンプレートの機能、Azure Storage 内のファイルからウォッチリストを作成する機能、ウォッチリストを手動で作成する機能は、現在プレビュー段階にありますAzureプレビュー補足条項には、ベータ版、プレビュー版、または一般公開されていないAzure機能に適用される追加の法的条件が含まれています。

2027 年 3 月 31 日以降、Microsoft SentinelはAzure portalでサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。 Azure portalでMicrosoft Sentinelを使用しているすべてのお客様は、Defender ポータルにリダイレクトされ、Defender ポータルでのみMicrosoft Sentinelを使用します2025 年 7 月以降、多くの新規顧客が自動的にオンボードされ、Defender ポータルにリダイレクトされます

Azure portalでMicrosoft Sentinelを引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defenderによって提供される統合セキュリティ操作エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「移動する時間: セキュリティを強化するためにMicrosoft SentinelのAzure portalを廃止する」を参照してください。

ローカル フォルダーからウォッチリストをアップロードする

ローカル コンピューターから CSV ファイルをアップロードしてウォッチリストを作成するには、2 つの方法があります。

作成したファイルからウォッチリストをアップロードする

ウォッチリスト テンプレートを使用してファイルを作成しなかった場合:

  1. Defender ポータルで、[Microsoft Sentinel>Configuration>Watchlist] に移動します。

  2. [ + 新規] を選択して ウォッチリスト ウィザードを開きます。

    ウォッチリスト ページの [ウォッチリストの追加] オプションのスクリーンショット。

  3. [ 全般 ] ページで、ウォッチリストの名前、説明、エイリアスを入力し、[ 次へ: ソース] を選択します。

    ウォッチリスト ウィザードの [ウォッチリストの全般] タブのスクリーンショット。

  4. [ ソース ] ページで、次の表の情報を使用してウォッチリスト データをアップロードし、[ 次へ: 確認と作成] を選択します。

    フィールド 説明
    ソースの種類 ローカル ファイル
    ファイルの種類 ヘッダーを含む CSV ファイル (.csv)
    見出しがある行の前の行数 データ ファイル内のヘッダー行の前の行数を入力します。
    ファイルのアップロード データ ファイルをドラッグ アンド ドロップするか、[ ファイルの参照 ] を選択し、アップロードするファイルを選択します。
    SearchKey ウォッチリストに、他のデータとの結合や頻繁な検索オブジェクトとして使用する列の名前を入力します。 たとえば、サーバーウォッチリストに国/地域名とそれぞれの 2 文字の国コードが含まれており、検索または結合に国コードを頻繁に使用する場合は、SearchKey として [コード ] 列を使用します。

    注:

    CSV ファイルが 3.8 MB を超える場合は、「ストレージ内のファイルから大きなウォッチリストを作成する」の手順Azure使用する必要があります。

    ウォッチリストの [ソース] タブを示すスクリーンショット。

  5. 情報を確認し、正しいことを確認し、[ 作成] を選択します。

    ウォッチリスト レビュー ページのスクリーンショット。

    ウォッチリストが作成されると、通知が表示されます。

ウォッチリストが作成され、新しいデータがクエリで使用できるようになるまで数分かかる場合があります。

テンプレートから作成したウォッチリストをアップロードする (プレビュー)

設定したテンプレートからウォッチリストを作成するには:

  1. Defender ポータルで、[Microsoft Sentinel>Configuration>Watchlist] に移動します。

  2. [ テンプレート (プレビュー)] タブを選択します。

  3. 一覧から適切なテンプレートを選択して、右側のウィンドウでテンプレートの詳細を表示します。

  4. [ テンプレートから作成] を 選択して 、ウォッチリスト ウィザードを開きます。

    組み込みのテンプレートからウォッチリストを作成するオプションのスクリーンショット。

  5. [ 全般 ] ページで、[ 名前]、[ 説明]、[ エイリアス ] の各フィールドがすべて読み取り専用であることに注意してください。 [ 次へ: ソース] を選択します

  6. [ ソース ] ページで、[ ファイルの参照] を選択し、テンプレートから作成したファイルを選択します。

  7. [ 次へ: 確認と作成] を選択し、[ 作成] を選択します。 ウォッチリストが作成されると、通知が表示されます。

ウォッチリストが作成され、新しいデータがクエリで使用できるようになるまで数分かかる場合があります。

Azure Storage のファイルから大規模なウォッチリストを作成する (プレビュー)

最大 500 MB の大きなウォッチリストがある場合は、ウォッチリスト ファイルを Azure Storage アカウントにアップロードします。 次に、Microsoft Sentinelの共有アクセス署名 URL を作成してウォッチリスト データを取得します。 共有アクセス署名 URL は、ストレージ アカウント内の CSV ファイルのようなリソースのリソース URI と共有アクセス署名トークンの両方を含む URI です。 最後に、Microsoft Sentinelでウォッチリストをワークスペースに追加します。

共有アクセス署名の詳細については、「ストレージ共有アクセス署名トークンAzure」を参照してください。

手順 1: ウォッチリスト ファイルを Azure Storage にアップロードする

大規模なウォッチリスト ファイルを Azure Storage アカウントにアップロードするには、AzCopy または Azure portalを使用します。

  1. Azure ストレージ アカウントがまだない場合は、ストレージ アカウントを作成します。 ストレージ アカウントは、Microsoft Sentinelのワークスペースとは異なるリソース グループまたはリージョンに存在できます。
  2. AzCopy または Azure portal を使用して、ウォッチリスト データを含む CSV ファイルをストレージ アカウントにアップロードします。

AzCopy を使用してファイルをアップロードする

AzCopy v10 コマンド ライン ユーティリティを使用して、ファイルとディレクトリを Blob Storage にアップロードします。 詳細については、「AzCopy を使用して BLOB ストレージAzureファイルをアップロードする」を参照してください。

  1. ストレージ コンテナーがまだない場合は、次のコマンドを実行して作成します。

    azcopy make 
https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>

  2. 次に、次のコマンドを実行してファイルをアップロードします。

    azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'

Azure portalでファイルをアップロードする

AzCopy を使用しない場合は、Azure portalを使用してファイルをアップロードします。 Azure portalのストレージ アカウントに移動して、ウォッチリスト データを含む CSV ファイルをアップロードします。

  1. 既存のストレージ コンテナーがない場合は、 コンテナーを作成します。 コンテナーへのパブリック アクセスのレベルについては、既定値を使用します。既定値は [プライベート] (匿名アクセスなし) に設定されています。
  2. ブロック BLOB をアップロード して、CSV ファイルをストレージ アカウントにアップロードします。

手順 2: 共有アクセス署名 URL を作成する

ウォッチリスト データを取得するMicrosoft Sentinelの共有アクセス署名 URL を作成します。

  1. 「Azure portalでの BLOB の SAS トークンの作成」の手順に従います。
  2. 共有アクセス署名トークンの有効期限を少なくとも 6 時間に設定します。
  3. [許可される IP アドレス] の既定値は空白のままにします。
  4. BLOB SAS URL の値をコピーします。

手順 3: [CORS] タブにAzureを追加する

SAS URI を使用する前に、クロス オリジン リソース共有 (CORS) にAzure portalを追加します。

  1. ストレージ アカウントの設定の [ リソース共有] ページに移動します。
  2. [ BLOB サービス ] タブを選択します。
  3. 許可された配信元テーブルに https://*.portal.azure.net を追加します。
  4. GETOPTIONSの適切な Allowed メソッドを選択します。
  5. 構成を保存します。

詳細については、「Azure Storage の CORS サポート」を参照してください。

手順 4: ウォッチリストをワークスペースに追加する

  1. Defender ポータルで、[Microsoft Sentinel>Configuration>Watchlist] に移動します。

  2. [ + 新規] を選択して ウォッチリスト ウィザードを開きます。

  3. [ 全般 ] ページで、ウォッチリストの名前、説明、エイリアスを入力し、[ 次へ: ソース] を選択します。

  4. [ ソース ] ページで、次の表の情報を使用してウォッチリスト データをアップロードし、[ 次へ: 確認と作成] を選択します。

    フィールド 説明
    ソースの種類 Azure ストレージ (プレビュー)
    データセットの型を選択する ヘッダーを含む CSV ファイル (.csv)
    見出しがある行の前の行数 データ ファイル内のヘッダー行の前の行数を入力します。
    BLOB SAS URL (プレビュー) 作成した共有アクセス URL を貼り付けます。
    SearchKey ウォッチリストに、他のデータとの結合や頻繁な検索オブジェクトとして使用する列の名前を入力します。 たとえば、サーバーウォッチリストに国/地域名とそれぞれの 2 文字の国コードが含まれており、検索または結合に国コードを頻繁に使用する場合は、SearchKey として [コード ] 列を使用します。

  5. 情報を確認し、正しいことを確認し、[ 作成] を選択します。 ウォッチリストが作成されると、通知が表示されます。

大規模なウォッチリストが作成され、新しいデータがクエリで使用できるようになるには、しばらく時間がかかる場合があります。

ウォッチリストを手動で作成する (プレビュー)

ウォッチリストをゼロから作成するには:

  1. Defender ポータルで、[Microsoft Sentinel>Configuration>Watchlist] に移動します。

  2. [ + 新規] を選択して ウォッチリスト ウィザードを開きます。

  3. [ 全般 ] ページで、ウォッチリストの名前、説明、エイリアスを入力し、[ 次へ: ソース] を選択します。

  4. [ソース] ページで、[ソースの種類] として [手動 (プレビュー)] を選択します。

  5. ウォッチリストの列名を追加して定義します。 検索キーとして機能する列を選択します。 このキーは、ウォッチリスト内の列で、他のデータとの結合または頻繁な検索オブジェクトとして使用することを想定しています。

    ウォッチリストを手動で作成するオプションのスクリーンショット。

  6. [ 次へ: 確認と作成] を選択します。

  7. 情報を確認し、正しいことを確認し、[ 作成] を選択します。 ウォッチリストが作成されると、通知が表示されます。

ウォッチリストが作成され、新しいデータがクエリで使用できるようになるまで数分かかる場合があります。

注:

手動で作成するウォッチリストには、既定値を使用する 1 つのエントリが自動的に含まれます。 このエントリは必要に応じて更新できます。 詳細については、「 ウォッチリストの管理」を参照してください。

ウォッチリストの状態を表示する

ワークスペースのウォッチリストの状態を表示するには:

  1. Defender ポータルで、[Microsoft Sentinel>Configuration>Watchlist] に移動します。

  2. [ マイ ウォッチリスト ] タブで、ウォッチリストを選択します。

  3. 詳細ページで、 状態 (プレビュー) を確認します。

    ウォッチリストの状態を示すスクリーンショット。

  4. 状態が [成功] の場合は、[ ログで表示 ] を選択して、クエリでウォッチリストを使用します。 ウォッチリストが Log Analytics に表示されるまでに数分かかる場合があります。

    [ログに表示] ボタンが強調表示されているウォッチリスト ページのスクリーンショット。

ウォッチリスト テンプレートのダウンロード (プレビュー)

Microsoft Sentinelからウォッチリスト テンプレートの 1 つをダウンロードして、データを設定します。 次に、Microsoft Sentinelでウォッチリストを作成するときに、そのファイルをアップロードします。

各組み込みウォッチリスト テンプレートには、テンプレートに添付された CSV ファイルに一覧表示される独自のデータ セットがあります。 詳細については、「 組み込みのウォッチリスト スキーマ」を参照してください。

ウォッチリスト テンプレートのいずれかをダウンロードするには:

  1. Defender ポータルで、[Microsoft Sentinel>Configuration>Watchlist] に移動します。

  2. [ テンプレート (プレビュー)] タブを選択します。

  3. 一覧からテンプレートを選択すると、右側のウィンドウにテンプレートの詳細が表示されます。

  4. 行の末尾にある省略記号 ... を選択します。

  5. [ スキーマのダウンロード] を選択します。

    ダウンロード スキーマが選択されている [テンプレート] タブのスクリーンショット。

  6. ファイルのローカル バージョンを設定し、CSV ファイルとしてローカルに保存します。

  7. テンプレート (プレビュー) から作成されたウォッチリストをアップロードする手順に従います。

Log Analytics ビューで削除されたウォッチリストと再作成されたウォッチリスト

ウォッチリストを削除して再作成すると、データ インジェストの 5 分間の SLA 内に、削除されたエントリと再作成されたエントリの両方が Log Analytics に表示されることがあります。 これらのエントリが Log Analytics に長期間表示される場合は、サポート チケットを送信してください。

関連コンテンツ

Microsoft Sentinelの詳細については、次の記事を参照してください。

  • Last updated on