次の方法で共有

Microsoft Sentinel でウォッチリストを管理する

  • 適用対象: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

ウォッチリストを削除して再作成するのではなく、既存のウォッチリストを編集することをお勧めします。 Log Analytics には、データ インジェストに対して 5 分間の SLA があります。 ウォッチリストを削除して再作成した場合、この 5 分間の期間に、削除と再作成の両方のエントリが Log Analytics に表示される可能性があります。 これらの重複するエントリが Log Analytics により長い期間表示される場合は、サポート チケットを送信してください。

重要

Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。

2026 年 7 月以降、Azure portal で Microsoft Sentinel を使用しているすべてのお客様は Defender ポータルにリダイレクトされ、Defender ポータルでのみ Microsoft Sentinel が使用されます2025 年 7 月以降、多くの新規ユーザーが自動的にオンボードされ、Defender ポータルにリダイレクトされます

Azure portal で Microsoft Sentinel を引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defender によって提供される統合セキュリティ運用エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 移動する時間: セキュリティを強化するために Microsoft Sentinel の Azure portal を廃止する」を参照してください。

ウォッチリスト項目を編集する

ウォッチリストを編集して、項目を編集するか、ウォッチリストに追加します。

  1. Defender ポータルの Microsoft Sentinel の場合は、Microsoft Sentinel>Configuration>Watchlist を選択します。 Azure portal の Microsoft Sentinel の場合、[構成][ウォッチリスト] を選択します。

  2. 編集するウォッチリストを選択します。

  3. 詳細ウィンドウで、 ウォッチリストの更新>ウォッチリストアイテムの編集を選択します。

    詳細ウィンドウの下部にあるウォッチリストの編集オプションのスクリーンショット。

  4. 既存のウォッチリスト項目を編集するには

    1. そのウォッチリスト項目のチェック ボックスをオンにします。

    2. 項目を編集します。

    3. [保存] を選択します

      ウォッチリスト アイテムをマークおよび編集する方法を示すスクリーンショット。

    4. 確認プロンプトで [ はい ] を選択します。

      変更を確認するためのプロンプトのスクリーンショット。

  5. ウォッチリストに新しい項目を追加するには

    1. [ 新規追加] を選択します

      ウォッチリストアイテムの編集ページの上部にある新しいボタンのスクリーンショット。

    2. [ウォッチリスト項目の追加] パネルのフィールドに入力します。

    3. そのパネルの下部にある [ 追加] を選択します。

ウォッチリストを一括更新する

ウォッチリストに追加するアイテムが多数ある場合は、一括更新を使用します。 ウォッチリストの一括更新を実行すると、既存のウォッチリストにアイテムが追加されます。 次に、各列の値がすべて一致する場合は、ウォッチリストのアイテムが重複除去されます。

ウォッチリスト ファイルから 1 つのアイテムを削除してアップロードした場合、一括更新を実行しても、既存のウォッチリストからそのアイテムは削除されません。 ウォッチリスト アイテムは、個別に削除します。 または、削除が多数ある場合は、ウォッチリストを削除して再作成します。

アップロードする更新済みウォッチリスト ファイルには、ウォッチリストで使用される検索キー フィールドが、空白の値がない状態で含まれていなくてはなりません。

ウォッチリストを一括更新するには、次の手順を実行します。

  1. Azure portal の Microsoft Sentinel の場合、[構成][ウォッチリスト] を選択します。
    Defender ポータルの Microsoft Sentinel の場合は、Microsoft Sentinel>Configuration>Watchlist を選択します。

  2. 編集するウォッチリストを選択します。

  3. 詳細ウィンドウで、[ウォッチリストの更新] >[一括更新] を選択します。

    詳細ウィンドウの下部にある一括更新オプションのスクリーンショット。

  4. [ ファイルのアップロード] で、アップロードするファイルをドラッグ アンド ドロップまたは参照します。

    アップロードするファイルを選択し、検索キー フィールドが無効になっているウォッチリスト ウィザードのソース ページのスクリーンショット。

  5. エラーが発生した場合は、ファイルの問題を修正します。 次に、[ リセット ] を選択し、ファイルのアップロードをもう一度試します。

  6. [次へ: 確認と更新]>Update を選択します。

関連するコンテンツ

Microsoft Sentinel の詳細については、次の記事を参照してください。