ウォッチリストを削除して再作成するのではなく、既存のウォッチリストを編集することをお勧めします。 ログ分析には、データ インジェスト用の 5 分間の SLA があります。 ウォッチリストを削除して再作成すると、この 5 分間の期間中に Log Analytics に削除されたエントリと再作成されたエントリの両方が表示されることがあります。 これらの重複したエントリが Log Analytics に長期間表示される場合は、サポート チケットを送信してください。
重要
2027 年 3 月 31 日以降、Microsoft SentinelはAzure portalでサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。 Azure portalでMicrosoft Sentinelを使用しているすべてのお客様は、Defender ポータルにリダイレクトされ、Defender ポータルでのみMicrosoft Sentinelを使用します。
Azure portalでMicrosoft Sentinelを引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defenderによって提供される統合セキュリティ操作エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。
ウォッチリストアイテムを編集する
ウォッチリストを編集して、ウォッチリストにアイテムを編集または追加します。
Defender ポータルでMicrosoft Sentinelする場合は、[Microsoft Sentinel>Configuration>Watchlist] を選択します。 Azure portalの [Microsoft Sentinel] で、[構成] で [ウォッチリスト] を選択します。
編集するウォッチリストを選択します。
詳細ウィンドウで、[ ウォッチリストの更新>ウォッチリストアイテムの編集] を選択します。
既存のウォッチリストアイテムを編集するには、
そのウォッチリスト項目のチェックボックスをオンにします。
アイテムを編集します。
[保存] を選択します。
確認プロンプトで [ はい ] を選択します。
ウォッチリストに新しいアイテムを追加するには、
[ 新規追加] を選択します。
[ウォッチリスト項目の追加] パネルのフィールドに入力します。
そのパネルの下部にある [ 追加] を選択します。
ウォッチリストを一括更新する
ウォッチリストに追加する項目が多数ある場合は、一括更新を使用します。 ウォッチリストの一括更新では、既存のウォッチリストに項目が追加されます。 次に、各列のすべての値が一致するウォッチリスト内の項目を複製解除します。
ウォッチリスト ファイルからアイテムを削除してアップロードした場合、一括更新では既存のウォッチリスト内のアイテムは削除されません。 ウォッチリスト項目を個別に削除します。 または、削除が多い場合は、ウォッチリストを削除して再作成します。
アップロードする更新されたウォッチリスト ファイルには、ウォッチリストで使用される検索キー フィールドに空白の値が含まれている必要があります。
ウォッチリストを一括更新するには、
Azure portalの [Microsoft Sentinel] で、[構成] で [ウォッチリスト] を選択します。
Defender ポータルでMicrosoft Sentinelする場合は、[Microsoft Sentinel>Configuration>Watchlist] を選択します。編集するウォッチリストを選択します。
詳細ウィンドウで、[ ウォッチリストの更新>Bulk update] を選択します。
[ ファイルのアップロード] で、アップロードするファイルをドラッグ アンド ドロップまたは参照します。
エラーが発生した場合は、ファイル内の問題を修正します。 次に、[ リセット ] を選択し、ファイルのアップロードをもう一度試します。
[ 次へ: 確認して更新>Update] を選択します。
関連コンテンツ
Microsoft Sentinelの詳細については、次の記事を参照してください。
- Microsoft Sentinelでウォッチリストを使用する
- データと潜在的な脅威を可視化する方法について説明します。
- Microsoft Sentinelで脅威の検出を開始します。
- ブックを使用して データを監視します。