Microsoft Sentinel のウォッチリストは、提供したデータ ソースのデータを Microsoft Sentinel 環境のイベントに関連付けるのに役立ちます。 たとえば、環境内の価値の高い資産、退職した従業員、またはサービス アカウントの一覧を含むウォッチリストを作成できます。
ウォッチリストは、次のいずれかの方法を使用して作成できます。
現在、最大 3.8 MB のサイズのローカル ファイルをアップロードできます。 3.8 MB を超え、最大 500 MB のファイルは、大規模なウォッチリストと見なされます。 大規模なウォッチリストをアップロードするには、ファイルを Azure Storage アカウントにアップロードします。 ウォッチリストを作成する前に、ウォッチリストの制限事項を確認してください。
Log Analytics ウォッチリスト テーブル内のデータは 28 日間保持されます。
重要
ウォッチリスト テンプレートの機能、Azure Storage 内のファイルからウォッチリストを作成する機能、ウォッチリストを手動で作成する機能は、現在 プレビュー段階にあります。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
2026 年 7 月以降、Azure portal で Microsoft Sentinel を使用しているすべてのお客様は Defender ポータルにリダイレクトされ、Defender ポータルでのみ Microsoft Sentinel が使用されます。 2025 年 7 月以降、多くの新しいユーザーも自動的にオンボードされ、Azure portal から Defender ポータルにリダイレクトされます。 Azure portal で Microsoft Sentinel を引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defender によって提供される統合セキュリティ運用エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 移動する時間: セキュリティを強化するために Microsoft Sentinel の Azure portal を廃止する」を参照してください。
ローカル フォルダーからウォッチリストをアップロードする
ローカル コンピューターから CSV ファイルをアップロードしてウォッチリストを作成する方法は 2 つあります。
- ウォッチリスト テンプレートなしで作成したウォッチリスト ファイルの場合: [新規追加] を選択し、必要な情報を入力します。
- Microsoft Sentinel からダウンロードした テンプレートから作成されたウォッチリスト ファイル の場合: ウォッチリスト テンプレート (プレビュー) タブに移動します。[ テンプレートから作成] オプションを選択します。 名前、説明、ウォッチリスト エイリアスが Azure によって事前設定されます。
作成したファイルからウォッチリストをアップロードする
ウォッチリスト テンプレートを使用してファイルを作成しなかった場合:
Defender ポータルで、Microsoft Sentinel>Configuration>Watchlist に移動します。
[+ 新規] を選択してウォッチリスト ウィザードを開きます。
[ 全般 ] ページで、ウォッチリストの名前、説明、エイリアスを入力し、[ 次へ: ソース] を選択します。
![ウォッチリスト ウィザードのウォッチリストの [全般] タブのスクリーンショット。](media/watchlists-create/sentinel-watchlist-general-country.png)
[ ソース ] ページで、次の表の情報を使用してウォッチリスト データをアップロードし、[ 次へ: 確認と作成] を選択します。
フィールド 説明 送信元の種類 ローカル ファイル ファイルの種類 ヘッダー付き CSV ファイル (.csv) 見出しを含む行の前の行数 データ ファイル内のヘッダー行の前の行数を入力します。 ファイルをアップロードする データ ファイルをドラッグ アンド ドロップするか、[ファイルの参照] を選択してアップロードするファイルを選択します。 SearchKey 他のデータとの結合、または頻繁な検索オブジェクトとして使用するウォッチリスト内の列の名前を入力します。 たとえば、サーバー ウォッチリストに国/地域名とそれぞれ 2 文字の国別コードが含まれており、検索または結合で国別コードを頻繁に使用することが想定される場合は、SearchKey として [コード] 列を使用します。 注
CSV ファイルが 3.8 MB を超える場合は、「 Azure Storage のファイルから大規模なウォッチリストを作成する」の手順を使用する必要があります。
![ウォッチリストの [ソース] タブを示すスクリーンショット。](media/watchlists-create/sentinel-watchlist-source.png)
情報を確認し、正しいことを確認して、[ 作成] を選択します。
ウォッチリストが作成されると、通知が表示されます。
![ウォッチリストの [ソース] タブを示すスクリーンショット。](media/watchlists-create/sentinel-watchlist-source.png#lightbox)
ウォッチリストが作成されて新しいデータがクエリで利用できるようになるまでには数分かかる場合があります。
テンプレートから作成されたウォッチリストをアップロードする (プレビュー)
設定したテンプレートからウォッチリストを作成するには:
Defender ポータルで、Microsoft Sentinel>Configuration>Watchlist に移動します。
[テンプレート (プレビュー)] タブを選択します。
一覧から適切なテンプレートを選択すると、右側のペインにテンプレートの詳細が表示されます。
[ テンプレートから作成] を選択して ウォッチリスト ウィザードを開きます。
[ 全般 ] ページで、[ 名前]、[ 説明]、[ エイリアス ] フィールドがすべて読み取り専用であることに注意してください。 [Next: Source](次へ: ソース) を選択します。
[ ソース ] ページで、[ ファイルの参照] を選択し、テンプレートから作成したファイルを選択します。
[次へ: 確認および作成] を選択してから、[作成] を選択します。 ウォッチリストが作成されると、通知が表示されます。
ウォッチリストが作成されて新しいデータがクエリで利用できるようになるまでには数分かかる場合があります。
Azure Storage 内のファイルから大きなウォッチリストを作成する (プレビュー)
ウォッチリストのサイズが大きい場合 (最大 500 MB) は、Azure ストレージ アカウントにウォッチリスト ファイルをアップロードします。 次に、Microsoft Sentinel の Shared Access Signature URL を作成してウォッチリスト データを取得します。 Shared Access Signature URL は、ストレージ アカウント内の CSV ファイルなどのリソースのリソース URI と共有アクセス署名トークンの両方を含む URI です。 最後に、ウォッチリストを Microsoft Sentinel のワークスペースに追加します。
Shared Access Signature の詳細については、Azure Storage の Shared Access Signature トークンに関するセクションを参照してください。
手順 1: ウォッチリスト ファイルを Azure Storage にアップロードする
大きなウォッチリスト ファイルを Azure ストレージ アカウントにアップロードするには、AzCopy または Azure portal を使用します。
- まだ Azure ストレージ アカウントをお持ちでない場合は、ストレージ アカウントを作成します。 ストレージ アカウントのリソース グループとリージョンは、Microsoft Sentinel のワークスペースと異なっていてもかまいません。
- AzCopy または Azure portal を使用して、ウォッチリスト データを含む CSV ファイルをストレージ アカウントにアップロードします。
AzCopy でファイルをアップロードする
AzCopy v10 コマンド ライン ユーティリティを使用して、BLOB ストレージにファイルやディレクトリをアップロードします。 詳細については、「AzCopy を使用して Azure BLOB ストレージにファイルをアップロードする」を参照してください。
ストレージ コンテナーをまだお持ちでない場合は、次のコマンドを実行して作成します。
azcopy make https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>次に、次のコマンドを実行してファイルをアップロードします。
azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'
Azure portal でファイルをアップロードする
AzCopy を使用しない場合は、Azure portal を使用してファイルをアップロードします。 Azure portal でストレージ アカウントに移動し、ウォッチリスト データを含む CSV ファイルをアップロードします。
- 既存のストレージ コンテナーがまだない場合は、コンテナーを作成します。 コンテナーへのパブリック アクセスのレベルについては、既定の設定を使用します 。これはプライベート (匿名アクセスなし) に設定されています。
- ブロック BLOB をアップロード して、CSV ファイルをストレージ アカウントにアップロードします。
手順 2: Shared Access Signature URL を作成する
Microsoft Sentinel の Shared Access Signature URL を作成してウォッチリスト データを取得します。
- 「Azure portal で BLOB の SAS トークンを作成する」の手順に従います。
- Shared Access Signature トークンの有効期限を少なくとも 6 時間に設定します。
- [使用できる IP アドレス] は既定値である空白のままにします。
- [BLOB SAS URL] の値をコピーします。
手順 3: [CORS] タブに Azure を追加する
SAS URI を使う前に、Azure portal をクロス オリジン リソース共有 (CORS) に追加します。
- ストレージ アカウントの設定の [リソースの共有] ページに移動します。
- [Blob service] タブを選びます。
- 許可されたオリジンのテーブルに
https://*.portal.azure.netを追加します。 - 適切な [許可されたメソッド] として
GETとOPTIONSを選びます。 - 構成を保存します。
詳しくは、Azure Storage での CORS のサポートに関する記事をご覧ください。
手順 4: ウォッチリストをワークスペースに追加する
Defender ポータルで、Microsoft Sentinel>Configuration>Watchlist に移動します。
[+ 新規] を選択してウォッチリスト ウィザードを開きます。
[ 全般 ] ページで、ウォッチリストの名前、説明、エイリアスを入力し、[ 次へ: ソース] を選択します。
[ ソース ] ページで、次の表の情報を使用してウォッチリスト データをアップロードし、[ 次へ: 確認と作成] を選択します。
フィールド 説明 送信元の種類 Azure Storage (プレビュー) データセットの種類を選択する ヘッダー付き CSV ファイル (.csv) 見出しを含む行の前の行数 データ ファイル内のヘッダー行の前の行数を入力します。 BLOB SAS URL (プレビュー) 作成した共有アクセス URL を貼り付けます。 SearchKey 他のデータとの結合、または頻繁な検索オブジェクトとして使用するウォッチリスト内の列の名前を入力します。 たとえば、サーバー ウォッチリストに国/地域名とそれぞれ 2 文字の国別コードが含まれており、検索または結合で国別コードを頻繁に使用することが想定される場合は、SearchKey として [コード] 列を使用します。 情報を確認し、正しいことを確認して、[ 作成] を選択します。 ウォッチリストが作成されると、通知が表示されます。
大規模なウォッチリストが作成され、新しいデータがクエリで使用できるようになるには、しばらく時間がかかる場合があります。
ウォッチリストを手動で作成する (プレビュー)
ウォッチリストを最初から作成するには:
Defender ポータルで、Microsoft Sentinel>Configuration>Watchlist に移動します。
[+ 新規] を選択してウォッチリスト ウィザードを開きます。
[ 全般 ] ページで、ウォッチリストの名前、説明、エイリアスを入力し、[ 次へ: ソース] を選択します。
[ソース] ページで、[ソースの種類] として [手動 (プレビュー)] を選択します。
ウォッチリストの列名を追加して定義します。 検索キーとして機能する列を選択します。 このキーは、他のデータとの結合または頻繁な検索オブジェクトとして使用するウォッチリスト内の列です。
[ 次へ: 確認と作成] を選択します。
情報を確認し、正しいことを確認して、[ 作成] を選択します。 ウォッチリストが作成されると、通知が表示されます。
ウォッチリストが作成されて新しいデータがクエリで利用できるようになるまでには数分かかる場合があります。
注
手動で作成するウォッチリストには、既定値を使用する 1 つのエントリが自動的に含まれます。 このエントリは必要に応じて更新できます。 詳細については、「 ウォッチリストの管理」を参照してください。
ウォッチリストの状態を確認する
ワークスペース内のウォッチリストの状態を表示するには:
Defender ポータルで、Microsoft Sentinel>Configuration>Watchlist に移動します。
[マイ ウォッチリスト] タブでウォッチリストを選択します。
詳細ページで [状態 (プレビュー)] を確認します。
状態が [成功] の場合は、[ ログで表示 ] を選択して、クエリでウォッチリストを使用します。 ウォッチリストが Log Analytics に表示されるまでには数分かかる場合があります。
![[ログで表示] ボタンが強調表示されているウォッチリスト ページのスクリーンショット。](media/watchlists-create/large-watchlist-status-view-in-log.png)
![[ログで表示] ボタンが強調表示されているウォッチリスト ページのスクリーンショット。](media/watchlists-create/large-watchlist-status-view-in-log.png#lightbox)
ウォッチリスト テンプレートをダウンロードする (プレビュー)
Microsoft Sentinel からウォッチリスト テンプレートのいずれかをダウンロードして、データを設定します。 次に、Microsoft Sentinel でウォッチリストを作成するときに、そのファイルをアップロードします。
各組み込みウォッチリスト テンプレートには、テンプレートにアタッチされた CSV ファイルに一覧表示されている、独自のデータのセットがあります。 詳細については、組み込みウォッチリスト スキーマに関するページを参照してください。
ウォッチリスト テンプレートの 1 つをダウンロードするには:
Defender ポータルで、Microsoft Sentinel>Configuration>Watchlist に移動します。
[テンプレート (プレビュー)] タブを選択します。
一覧からテンプレートを選択すると、右側のペインにテンプレートの詳細が表示されます。
行の末尾にある省略記号 [...] を選択します。
[スキーマをダウンロード] を選択します。
![ダウンロード スキーマが選択されている [テンプレート] タブのスクリーンショット。](media/watchlists-create/create-watchlist-download-schema.png)
ローカル バージョンのファイルにデータを設定し、CSV ファイルとしてローカルに保存します。
「テンプレートから作成したウォッチリストをアップロードする (プレビュー)」の手順に従います。
Log Analytics ビューでウォッチリストを削除して再作成する
ウォッチリストを削除して再作成した場合、データ インジェストの 5 分間の SLA 内に、削除済みと再作成済みの両方のエントリが Log Analytics に表示される場合があります。 これらのエントリが Log Analytics に一緒に長時間表示される場合は、サポート チケットを送信してください。
関連するコンテンツ
Microsoft Azure Sentinel の詳細については、次の記事を参照してください。
- データと潜在的な脅威を可視化する方法についての説明。
- Microsoft Sentinel を使用した脅威の検出の概要。
- ブックを使用してデータを監視する。
- ウォッチリストの管理
- ウォッチリストを使用してクエリと検出ルールを作成する