ウォッチリストを削除して再作成するのではなく、既存のウォッチリストを編集することをお勧めします。 Log Analytics には、データ インジェストに対して 5 分間の SLA があります。 ウォッチリストを削除して再作成した場合、この 5 分間の期間に、削除と再作成の両方のエントリが Log Analytics に表示される可能性があります。 これらの重複するエントリが Log Analytics により長い期間表示される場合は、サポート チケットを送信してください。
重要
Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。
2026 年 7 月以降、Microsoft Sentinel は Defender ポータルでのみサポートされ、Azure portal を使用している残りの顧客は自動的にリダイレクトされます。
Azure で Microsoft Sentinel を使用しているお客様は、Microsoft Defender によって提供される完全な統合セキュリティ操作エクスペリエンスのために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 すべての Microsoft Sentinel ユーザー向けの Microsoft Defender ポータルへの移行の計画」を参照してください。
ウォッチリスト項目を編集する
ウォッチリストを編集して、項目を編集するか、ウォッチリストに追加します。
Defender ポータルの Microsoft Sentinel の場合は、Microsoft Sentinel>Configuration>Watchlist を選択します。 Azure portal の Microsoft Sentinel の場合、[構成] で [ウォッチリスト] を選択します。
編集するウォッチリストを選択します。
詳細ウィンドウで、 ウォッチリストの更新>ウォッチリストアイテムの編集を選択します。
既存のウォッチリスト項目を編集するには
そのウォッチリスト項目のチェック ボックスをオンにします。
項目を編集します。
[保存] を選択します。
確認プロンプトで [ はい ] を選択します。
ウォッチリストに新しい項目を追加するには
[ 新規追加] を選択します。
[ウォッチリスト項目の追加] パネルのフィールドに入力します。
そのパネルの下部にある [ 追加] を選択します。
ウォッチリストを一括更新する
ウォッチリストに追加するアイテムが多数ある場合は、一括更新を使用します。 ウォッチリストの一括更新を実行すると、既存のウォッチリストにアイテムが追加されます。 次に、各列の値がすべて一致する場合は、ウォッチリストのアイテムが重複除去されます。
ウォッチリスト ファイルから 1 つのアイテムを削除してアップロードした場合、一括更新を実行しても、既存のウォッチリストからそのアイテムは削除されません。 ウォッチリスト アイテムは、個別に削除します。 または、削除が多数ある場合は、ウォッチリストを削除して再作成します。
アップロードする更新済みウォッチリスト ファイルには、ウォッチリストで使用される検索キー フィールドが、空白の値がない状態で含まれていなくてはなりません。
ウォッチリストを一括更新するには、次の手順を実行します。
Azure portal の Microsoft Sentinel の場合、[構成] で [ウォッチリスト] を選択します。
Defender ポータルの Microsoft Sentinel の場合は、Microsoft Sentinel>Configuration>Watchlist を選択します。編集するウォッチリストを選択します。
詳細ウィンドウで、[ウォッチリストの更新] >[一括更新] を選択します。
[ ファイルのアップロード] で、アップロードするファイルをドラッグ アンド ドロップまたは参照します。
エラーが発生した場合は、ファイルの問題を修正します。 次に、[ リセット ] を選択し、ファイルのアップロードをもう一度試します。
[次へ: 確認と更新]>Update を選択します。
関連するコンテンツ
Microsoft Sentinel の詳細については、次の記事を参照してください。
- Microsoft Sentinel でウォッチリストを使用する
- データと潜在的な脅威を可視化する方法について説明します。
- Microsoft Sentinel で脅威の検出を開始します。
- ワークブックを使用して データを監視します。