概要ページで収集されたデータを視覚化する
データ ソースを Microsoft Sentinel に接続したら、[概要] ページを使用して、環境全体のアクティビティを表示、監視、分析します。 この記事では、Microsoft Sentinel の [概要] ダッシュボードで使用できるウィジェットとグラフについて説明します。
重要
Microsoft Sentinel は Microsoft Defender ポータルの Microsoft の統合セキュリティ オペレーション プラットフォーム内で一般提供されています。 プレビューでは、Microsoft Sentinel は、Microsoft Defender XDR または E5 のライセンスがなくても Defender ポータルで利用できます。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。
前提条件
- Microsoft Sentinel リソースへの読み取りアクセスがあることを確認します。 詳細については、「Microsoft Sentinel のロールとアクセス許可」を参照してください。
概要ページにアクセスする
ワークスペースが Microsoft Defender ポータルにオンボードされている場合は、[全般] > [概要] を選択します。 それ以外の場合は、[概要] を直接選択します。 次に例を示します。
ダッシュボードの各セクションのデータが事前に計算され、最後の更新時刻が各セクションの上部に表示されます。 ページの上部にある [最新の情報に更新] を選択して、ページ全体を最新の情報に更新します。
インシデント データを表示する
ノイズを減らし、確認および調査する必要があるアラートの数を最小限に抑えるために、Microsoft Sentinel では融合手法を使用してアラートを "インシデント" に関連付けます。 インシデントは、調査および解決する関連アラートのアクション可能なグループです。
次の図は、[概要] ダッシュボードの [インシデント] セクションの例を示しています。
[インシデント] セクションには、次のデータが一覧表示されます。
- 過去 24 時間の新規、アクティブ、クローズされたインシデントの数。
- 各重大度のインシデントの合計数。
- 終了分類の種類ごとのクローズされたインシデントの数。
- 作成時間別のインシデントの状態 (4 時間間隔)。
- インシデントが確認されるまでの平均時間、インシデントがクローズされるまでの平均時間、SOC 効率ブックへのリンク。
[インシデントの管理] を選択して、Microsoft Sentinel の [インシデント] ページに移動して詳細を確認します。
オートメーション データを表示する
Microsoft Sentinel でオートメーションをデプロイした後、[概要] ダッシュボードの [オートメーション] セクションでワークスペースのオートメーションを監視します。
オートメーション ルール アクティビティの概要から始めます (オートメーションによってクローズされたインシデント、オートメーションによって節約された時間、関連するプレイブックの正常性)。
Microsoft Sentinel では、1 つのオートメーションによって節約された平均時間と、オートメーションによって解決されたインシデントの数を乗算して、オートメーションによって節約された時間が計算されます。 数式は次のとおりです。
(avgWithout - avgWith) * resolvedByAutomation
ここで:
- avgWithout は、自動化なしでインシデントが解決されるまでの平均時間です。
- avgWith は、自動化によってインシデントが解決されるまでの平均時間です。
- resolvedByAutomation は、自動化によって解決されるインシデントの数です。
概要の下には、オートメーションによって実行されたアクションの数が、アクションの種類別に集計されて表示されます。
セクションの下部には、アクティブなオートメーション ルールの数と、[オートメーション] ページへのリンクが表示されます。
[オートメーション ルールの構成] リンクを選択し、より多くのオートメーションを構成できる [オートメーション] ページに移動します。
データ レコード、データ コレクター、脅威インテリジェンスの状態を表示する
[概要] ダッシュボードの [データ] セクションで、データ レコード、データ コレクター、脅威インテリジェンスに関する情報を追跡します。
次の詳細を表示します。
過去 24 時間に Microsoft Sentinel で収集されたレコードの数を、その前の 24 時間と比較したものと、その期間に検出された異常。
異常およびアクティブなコネクタ別に分類された、データ コネクタの状態の概要。 [異常なコネクタ] は、エラーがあるコネクタの数を示します。 [アクティブなコネクタ] は、Microsoft Sentinel へのデータ ストリーミングがあるコネクタです (コネクタに含まれるクエリによって測定されます)。
侵害のインジケーター別の Microsoft Sentinel の脅威インテリジェンス レコード。
[コネクタの管理] を選択して、[データ コネクタ] ページに移動し、データ コネクタを表示および管理できます。
分析データの表示
[概要] ダッシュボードの [分析] セクションで、分析ルールのデータを追跡します。
Microsoft Sentinel の分析ルールの数は、有効、無効、自動無効化などの状態別に表示されます。
[MITRE ビュー] リンクを選択して、[MITRE ATT&CK] に移動します。MITRE ATT&CK の戦術と手法から環境がどのように保護されているかを確認できます。 [分析ルールの管理] リンクを選択して、[分析] ページに移動し、アラートのトリガー方法を構成するルールを表示および管理できます。
次のステップ
ブック テンプレートを使用して、環境全体で生成されたイベントの詳細を確認します。 詳細については、「Microsoft Sentinel でブックを使用してデータを視覚化および監視する」を参照してください。
Log Analytics クエリ ログを有効にして、ワークスペースから実行されるすべてのクエリを取得します。 詳細については、「Microsoft Sentinel クエリとアクティビティの監査」をご覧ください。
[概要] ダッシュボード ウィジェットの背後で使用されるクエリについて説明します。 詳細については、Microsoft Sentinel の新しい概要ダッシュボードの詳細に関する記事を参照してください。