データ ソースを Microsoft Sentinel に接続したら、[ 概要 ] ページを使用して、環境全体のアクティビティを表示、監視、分析します。 この記事では、Microsoft Sentinel の [概要 ] ダッシュボードで使用できるウィジェットとグラフについて説明します。
重要
Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。
2026 年 7 月以降、Microsoft Sentinel は Defender ポータルでのみサポートされ、Azure portal を使用している残りの顧客は自動的にリダイレクトされます。
Azure で Microsoft Sentinel を使用しているお客様は、Microsoft Defender によって提供される完全な統合セキュリティ操作エクスペリエンスのために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 すべての Microsoft Sentinel ユーザー向けの Microsoft Defender ポータルへの移行の計画」を参照してください。
前提条件
- Microsoft Sentinel リソースへの読み取りアクセスがあることを確認します。 詳細については、「 Microsoft Sentinel のロールとアクセス許可」を参照してください。
概要ページにアクセスする
ワークスペースが Microsoft Defender ポータルにオンボードされている場合は、[ 全般] > [概要] を選択します。 それ以外の場合は、[ 概要 ] を直接選択します。 次に例を示します。
![Microsoft Sentinel の [概要] ダッシュボードのスクリーンショット。](media/get-visibility/dashboard.png)
ダッシュボードの各セクションのデータが事前に計算され、最後の更新時刻が各セクションの上部に表示されます。 ページの上部にある [更新 ] を選択して、ページ全体を更新します。
インシデント データを表示する
ノイズを減らし、確認および調査する必要があるアラートの数を最小限に抑えるために、Microsoft Sentinel では融合手法を使用してアラートを "インシデント" に関連付けます。 インシデントは、調査および解決する関連アラートのアクション可能なグループです。
次の図は、[概要] ダッシュボードの [インシデント] セクションの例を示しています。
![Microsoft Sentinel の [概要] ページの [インシデント] セクションのスクリーンショット。](media/qs-get-visibility/incidents.png#lightbox)
[インシデント] セクション には、 次のデータが一覧表示されます。
- 過去 24 時間の新規、アクティブ、クローズされたインシデントの数。
- 各重大度のインシデントの合計数。
- 終了分類の種類ごとのクローズされたインシデントの数。
- 作成時間別のインシデントの状態 (4 時間間隔)。
- インシデントが確認されるまでの平均時間、インシデントがクローズされるまでの平均時間、SOC 効率ブックへのリンク。
[ インシデントの管理 ] を選択して、Microsoft Sentinel の [インシデント ] ページに移動して詳細を確認します。
オートメーション データを表示する
Microsoft Sentinel で自動化をデプロイした後、概要ダッシュボードの Automation セクションでワークスペースの自動化を監視します。
![Microsoft Sentinel の [概要] ページの [Automation] セクションのスクリーンショット。](media/qs-get-visibility/automation.png#lightbox)
オートメーション ルール アクティビティの概要から始めます (オートメーションによってクローズされたインシデント、オートメーションによって節約された時間、関連するプレイブックの正常性)。
Microsoft Sentinel では、1 つのオートメーションによって節約された平均時間と、オートメーションによって解決されたインシデントの数を乗算して、オートメーションによって節約された時間が計算されます。 数式は次のとおりです。
(avgWithout - avgWith) * resolvedByAutomationここで:
- avgWithout は、自動化なしでインシデントが解決されるまでの平均時間です。
- avgWith は、自動化によってインシデントが解決されるまでの平均時間です。
- resolvedByAutomation は、自動化によって解決されるインシデントの数です。
概要の下には、オートメーションによって実行されたアクションの数が、アクションの種類別に集計されて表示されます。
セクションの下部で、 Automation ページへの リンクを含むアクティブなオートメーション ルールの数を見つけます。
自動化規則の構成 リンクを選択して Automation ページに移動してください。そこで、より多くの自動化を設定できます。
データ レコード、データ コレクター、脅威インテリジェンスの状態を表示する
[概要] ダッシュボードの [データ] セクションで、データ レコード、データ コレクター、脅威インテリジェンスに関する情報を追跡します。
![Microsoft Sentinel の [概要] ページの [データ] セクションのスクリーンショット。](media/qs-get-visibility/data.png#lightbox)
次の詳細を表示します。
過去 24 時間に Microsoft Sentinel で収集されたレコードの数を、その前の 24 時間と比較したものと、その期間に検出された異常。
異常およびアクティブなコネクタ別に分類された、データ コネクタの状態の概要。 異常なコネクタは、 エラーがあるコネクタの数を示します。 アクティブ コネクタは、 コネクタに含まれるクエリによって測定される、Microsoft Sentinel へのデータ ストリーミングを含むコネクタです。
侵害のインジケーター別の Microsoft Sentinel の脅威インテリジェンス レコード。
[ コネクタの管理 ] を選択すると、[ データ コネクタ ] ページに移動し、データ コネクタを表示および管理できます。
分析データの表示
[概要] ダッシュボードの [分析] セクションで、分析ルールのデータを追跡します。
![Microsoft Sentinel の [概要] ページの [分析] セクションのスクリーンショット。](media/qs-get-visibility/analytics.png)
Microsoft Sentinel の分析ルールの数は、有効、無効、自動無効化などの状態別に表示されます。
MITRE ビュー リンクを選択して MITRE ATT&CK に移動します。MITRE ATT&CK の戦術と手法から環境がどのように保護されているかを確認できます。 [分析ルールの管理] リンクを選択して [分析] ページに移動します。ここで、アラートのトリガー方法を構成するルールを表示および管理できます。
次のステップ
ブック テンプレートを使用して、環境全体で生成されたイベントの詳細を確認します。 詳細については、「Microsoft Sentinel でワークブックを使用してデータを視覚化し監視する」を参照してください。
Log Analytics クエリ ログを有効にして、ワークスペースから実行されるすべてのクエリを取得します。 詳細については、「 Microsoft Sentinel のクエリとアクティビティの監査」を参照してください。
概要ダッシュボード ウィジェットの背後で使用されるクエリについて説明します。 詳細については、 Microsoft Sentinel の新しい概要ダッシュボードの詳細を参照してください。