データ ソースをMicrosoft Sentinelに接続したら、[概要] ページを使用して、環境全体のアクティビティを表示、監視、分析します。 この記事では、Microsoft Sentinelの [概要] ダッシュボードで使用できるウィジェットとグラフについて説明します。
重要
2027 年 3 月 31 日以降、Microsoft SentinelはAzure portalでサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。 Azure portalでMicrosoft Sentinelを使用しているすべてのお客様は、Defender ポータルにリダイレクトされ、Defender ポータルでのみMicrosoft Sentinelを使用します。
Azure portalでMicrosoft Sentinelを引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defenderによって提供される統合セキュリティ操作エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。
前提条件
- Microsoft Sentinel リソースへの閲覧者アクセス権があることを確認します。 詳細については、「Microsoft Sentinelのロールとアクセス許可」を参照してください。
[概要] ページにアクセスする
ワークスペースがMicrosoft Defender ポータルにオンボードされている場合は、[全般] > [概要] を選択します。 それ以外の場合は、[ 概要 ] を直接選択します。 例:
![Microsoft Sentinelの [概要] ダッシュボードのスクリーンショット。](media/get-visibility/dashboard.png)
ダッシュボードの各セクションのデータは事前計算され、最後の更新時刻が各セクションの上部に表示されます。 ページの上部にある [ 更新 ] を選択して、ページ全体を更新します。
インシデント データを表示する
ノイズを減らし、確認して調査する必要があるアラートの数を最小限に抑えるために、Microsoft Sentinelは融合手法を使用してアラートをインシデントに関連付けます。 インシデントは、調査および解決するための関連アラートのアクション可能なグループです。
次の図は、[概要] ダッシュボードの [インシデント] セクションの例を示しています。
![[Microsoft Sentinel概要] ページの [インシデント] セクションのスクリーンショット。](media/qs-get-visibility/incidents.png#lightbox)
[インシデント] セクション には、 次のデータが一覧表示されます。
- 過去 24 時間の新規、アクティブ、および終了したインシデントの数。
- 各重大度のインシデントの合計数。
- 閉じる分類の各種類のクローズ インシデントの数。
- 作成時間別のインシデントの状態 (4 時間間隔)。
- インシデントを確認する平均時間と、SOC 効率ブックへのリンクを含むインシデントを閉じる平均時間。
[インシデントの管理] を選択して、[インシデントのMicrosoft Sentinel] ページに移動して詳細を確認します。
オートメーション データを表示する
Microsoft Sentinelを使用して自動化をデプロイした後、概要ダッシュボードの Automation セクションでワークスペースの自動化を監視します。
![[Microsoft Sentinelの概要] ページの [Automation] セクションのスクリーンショット。](media/qs-get-visibility/automation.png#lightbox)
自動化ルール アクティビティの概要から始めます。自動化によって閉じられたインシデント、自動化が保存された時刻、関連するプレイブックの正常性。
Microsoft Sentinelは、1 つの自動化によって保存された平均時間に、自動化によって解決されたインシデントの数を乗算して、自動化によって保存された時間を計算します。 これを式で表すと次のようになります。
(avgWithout - avgWith) * resolvedByAutomationここで、
- avgWithout は、インシデントが自動化なしで解決されるまでの平均時間です。
- avgWith は、インシデントが自動化によって解決されるまでの平均時間です。
- resolvedByAutomation は、自動化によって解決されるインシデントの数です。
概要の下のグラフは、オートメーションによって実行されたアクションの数をアクションの種類別にまとめたものです。
セクションの下部で、[Automation] ページへのリンクを含むアクティブな オートメーション ルールの数を見つけます。
[ オートメーション ルールの構成 ] リンクを選択して、 Automation ページにジャンプします。ここで、より多くの自動化を構成できます。
データ レコード、データ コレクター、脅威インテリジェンスの状態を表示する
[概要] ダッシュボードの [データ] セクションで、データ レコード、データ コレクター、脅威インテリジェンスに関する情報を追跡します。
![[Microsoft Sentinelの概要] ページの [データ] セクションのスクリーンショット。](media/qs-get-visibility/data.png#lightbox)
次の詳細を表示します。
過去 24 時間に収集Microsoft Sentinelレコードの数。過去 24 時間と比較し、その期間中に検出された異常。
異常なコネクタとアクティブなコネクタで割ったデータ コネクタの状態の概要。 異常なコネクタは、 エラーがあるコネクタの数を示します。 アクティブ コネクタは、コネクタに含まれるクエリによって測定される、Microsoft Sentinelにデータ ストリーミングを行うコネクタです。
侵害のインジケーターによって、Microsoft Sentinelの脅威インテリジェンス レコード。
[ コネクタの管理 ] を選択して、[ データ コネクタ ] ページに移動します。ここで、データ コネクタを表示および管理できます。
分析データを表示する
[概要] ダッシュボードの [分析] セクションで、分析ルールのデータを追跡します。
![[Microsoft Sentinelの概要] ページの [分析] セクションのスクリーンショット。](media/qs-get-visibility/analytics.png)
Microsoft Sentinelの分析ルールの数は、有効、無効、自動無効など、状態によって表示されます。
[MITRE ビュー] リンクを選択して MITRE ATT&CK にジャンプします。ここで、MITRE ATT&CK の戦術と手法から環境がどのように保護されているかを確認できます。 [ 分析ルールの管理 ] リンクを選択して [分析 ] ページに移動します。ここで、アラートのトリガー方法を構成するルールを表示および管理できます。
次の手順
ブック テンプレートを使用して、環境全体で生成されたイベントについて詳しく調べます。 詳細については、「Microsoft Sentinelのブックを使用してデータを視覚化および監視する」を参照してください。
Log Analytics クエリ ログを有効にして、すべてのクエリをワークスペースから実行します。 詳細については、「監査Microsoft Sentinelクエリとアクティビティ」を参照してください。
概要ダッシュボード ウィジェットの背後で使用されるクエリについて説明します。 詳細については、「Microsoft Sentinelの新しい概要ダッシュボードの詳細」を参照してください。