Compartir vía


Visualización de datos recopilados en la página de información general

Después de conectar los orígenes de datos a Microsoft Sentinel, use la página de información general para ver, supervisar y analizar actividades en todo el entorno. En este artículo se describen los widgets y gráficos disponibles en el panel de información general de Microsoft Sentinel.

Importante

Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificadas de Microsoft en el portal de Microsoft Defender. Para obtener una versión preliminar, Microsoft Sentinel está disponible en el portal de Defender sin XDR de Microsoft Defender ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Requisitos previos

Acceso a la página de información general

Si el área de trabajo se incorpora al portal de Microsoft Defender, seleccione General > Información general. De lo contrario, seleccione Información general directamente. Por ejemplo:

Captura de pantalla del panel de información general de Microsoft Sentinel

Los datos de cada sección del panel se calculan previamente y la hora de la última actualización se muestra en la parte superior de cada sección. Seleccione Actualizar en la parte superior de la página para actualizar toda la página.

Visualización de los datos de incidentes

Para ayudar a reducir el ruido y minimizar el número de alertas que tiene que revisar e investigar, Microsoft Sentinel emplea una técnica de fusión para correlacionar alertas con incidentes. Los incidentes son grupos accionables de alertas relacionadas para que pueda investigar y resolver.

En la imagen siguiente se muestra un ejemplo de la sección Incidentes en el panel de información general:

Captura de pantalla de la sección Incidentes de la página de información general de Microsoft Sentinel.

En la sección Incidentes se enumeran los datos siguientes:

  • El número de incidentes nuevos, activos y cerrados en las últimas 24 horas.
  • Número total de incidentes de cada gravedad.
  • Número de incidentes cerrados de cada tipo de clasificación de cierre.
  • Estados del incidente por hora de creación, en intervalos de cuatro horas.
  • El tiempo medio para confirmar un incidente y el tiempo medio para cerrarlo, con un vínculo al libro de eficiencia de SOC.

Seleccione Administrar incidentes para ir a la página Incidentes de Microsoft Sentinel para obtener más detalles.

Visualización de datos de automatización

Después de implementar la automatización con Microsoft Sentinel, supervise la automatización del área de trabajo en la sección Automatización del panel Información general.

Captura de pantalla de la sección Automatización de la página de información general de Microsoft Sentinel.

  • Comience con un resumen de la actividad de las reglas de automatización: incidentes cerrados por automatización, la hora a la que se guardó la automatización y el estado de los cuadernos de estrategias relacionados.

    Microsoft Sentinel calcula el tiempo ahorrado por automatización mediante la búsqueda del tiempo medio que guardó una sola automatización, multiplicada por el número de incidentes resueltos por la automatización. La fórmula es la siguiente:

    (avgWithout - avgWith) * resolvedByAutomation

    Donde:

    • avgWithout es el tiempo medio que tarda un incidente en resolverse sin automatización.
    • avgWith es el tiempo medio necesario para que la automatización resuelva un incidente.
    • resolvedByAutomation es el número de incidentes resueltos por automatización.
  • Debajo del resumen, un gráfico resume el número de acciones realizadas por la automatización, por tipo de acción.

  • En la parte inferior de la sección, puede encontrar un recuento de las reglas de automatización activas con un vínculo a la página Automatización.

Seleccione el vínculo Configurar reglas de automatización para saltar a la página Automatización, donde puede configurar más automatización.

Visualización del estado de los registros de datos, recopiladores de datos e inteligencia sobre amenazas

En la sección Datos del panel Información general, realice un seguimiento de la información sobre registros de datos, recopiladores de datos e inteligencia sobre amenazas.

Captura de pantalla de la sección Datos de la página de información general de Microsoft Sentinel.

Vea los siguientes detalles:

  • El número de registros que Microsoft Sentinel recopiló en las últimas 24 horas, en comparación con las 24 horas anteriores, y las anomalías detectadas en ese período de tiempo.

  • Un resumen del estado del conector de datos, dividido por conectores incorrectos y activos. Los conectores incorrectos indican cuántos conectores tienen errores. Los conectores activos son conectores con streaming de datos en Microsoft Sentinel, medidos por una consulta incluida en el conector.

  • Registros de inteligencia sobre amenazas en Microsoft Sentinel, por indicador de riesgo.

Seleccione Administrar conectores para ir a la página Conectores de datos, donde puede ver y administrar los conectores de datos.

Ver datos de análisis

Realice un seguimiento de los datos de las reglas de análisis en la sección Análisis del panel Información general.

Captura de pantalla de la sección Análisis de la página de información general de Microsoft Sentinel.

El número de reglas de análisis de Microsoft Sentinel se muestra por estado, incluido habilitado, deshabilitado y deshabilitado automáticamente.

Seleccione el vínculo de vista MITRE para saltar a MITRE ATT&CK, donde puede ver cómo su entorno está protegido contra tácticas y técnicas de MITRE ATT&CK. Seleccione el vínculo Administrar reglas de análisis para ir a la página Análisis, donde puede ver y administrar las reglas que configuran cómo se desencadenan las alertas.

Pasos siguientes