Wizualizacja zebranych danych na stronie Przegląd
Po połączeniu źródeł danych z usługą Microsoft Sentinel użyj strony Przegląd , aby wyświetlić, monitorować i analizować działania w całym środowisku. W tym artykule opisano widżety i wykresy dostępne na pulpicie nawigacyjnym Omówienie usługi Microsoft Sentinel.
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Wymagania wstępne
- Upewnij się, że masz dostęp czytelnika do zasobów usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Role i uprawnienia w usłudze Microsoft Sentinel.
Uzyskiwanie dostępu do strony Przegląd
Jeśli obszar roboczy jest dołączany do portalu usługi Microsoft Defender, wybierz pozycję Ogólne > omówienie. W przeciwnym razie wybierz pozycję Przegląd bezpośrednio. Na przykład:
Dane dla każdej sekcji pulpitu nawigacyjnego są wstępnie obliczane, a czas ostatniego odświeżania jest wyświetlany w górnej części każdej sekcji. Wybierz pozycję Odśwież w górnej części strony, aby odświeżyć całą stronę.
Wyświetlanie danych zdarzeń
Aby zmniejszyć szum i zminimalizować liczbę alertów, które należy przejrzeć i zbadać, usługa Microsoft Sentinel używa techniki łączenia w celu skorelowania alertów z incydentami. Zdarzenia to grupy z możliwością działania powiązanych alertów w celu zbadania i rozwiązania problemu.
Na poniższej ilustracji przedstawiono przykład sekcji Incydenty na pulpicie nawigacyjnym Przegląd :
W sekcji Incydenty wymieniono następujące dane:
- Liczba nowych, aktywnych i zamkniętych zdarzeń w ciągu ostatnich 24 godzin.
- Całkowita liczba zdarzeń każdej ważności.
- Liczba zamkniętych zdarzeń każdego typu klasyfikacji zamknięcia.
- Stany incydentów według czasu utworzenia w czterech godzinach.
- Średni czas potwierdzenia zdarzenia i średni czas zamknięcia zdarzenia z linkiem do skoroszytu wydajności SOC.
Wybierz pozycję Zarządzaj zdarzeniami, aby przejść do strony Incydenty usługi Microsoft Sentinel, aby uzyskać więcej informacji.
Wyświetlanie danych automatyzacji
Po wdrożeniu automatyzacji za pomocą usługi Microsoft Sentinel monitoruj automatyzację obszaru roboczego w sekcji Automatyzacja pulpitu nawigacyjnego Przegląd .
Zacznij od podsumowania działania reguł automatyzacji: zdarzenia zamknięte przez automatyzację, czas zapisania automatyzacji i powiązanej kondycji podręczników.
Usługa Microsoft Sentinel oblicza czas zapisany przez automatyzację, wyszukując średni czas zaoszczędzony przez pojedynczą automatyzację pomnożoną przez liczbę zdarzeń rozwiązanych przez automatyzację. Formuła wygląda następująco:
(avgWithout - avgWith) * resolvedByAutomationGdzie:
- avgWithout to średni czas rozwiązania zdarzenia bez automatyzacji.
- avgWith to średni czas potrzebny na rozwiązanie zdarzenia przez automatyzację.
- resolvedByAutomation to liczba zdarzeń rozwiązanych przez automatyzację.
Poniżej podsumowania wykres podsumowuje liczbę akcji wykonywanych przez automatyzację według typu akcji.
W dolnej części sekcji znajdź liczbę aktywnych reguł automatyzacji z linkiem do strony Automatyzacja.
Wybierz link Configure automation rules (Konfigurowanie reguł automatyzacji) do strony Jump the Automation (Automatyzacja), na której można skonfigurować więcej automatyzacji.
Wyświetlanie stanu rekordów danych, modułów zbierających dane i analizy zagrożeń
W sekcji Dane pulpitu nawigacyjnego Przegląd śledź informacje dotyczące rekordów danych, modułów zbierających dane i analizy zagrożeń.
Wyświetl następujące szczegóły:
Liczba rekordów zebranych przez usługę Microsoft Sentinel w ciągu ostatnich 24 godzin w porównaniu z poprzednimi 24 godzinami i wykrytych anomalii w tym okresie.
Podsumowanie stanu łącznika danych podzielone przez łączniki w złej kondycji i aktywne łączniki. Łączniki w złej kondycji wskazują, ile łączników zawiera błędy. Aktywne łączniki to łączniki z przesyłaniem strumieniowym danych do usługi Microsoft Sentinel mierzone przez zapytanie zawarte w łączniku.
Rekordy analizy zagrożeń w usłudze Microsoft Sentinel według wskaźnika naruszenia zabezpieczeń.
Wybierz pozycję Zarządzaj łącznikami , aby przejść do strony Łączniki danych, na której można wyświetlać łączniki danych i zarządzać nimi.
Wyświetlanie danych analitycznych
Śledzenie danych dla reguł analizy w sekcji Analiza pulpitu nawigacyjnego Przegląd .
Liczba reguł analizy w usłudze Microsoft Sentinel jest wyświetlana według stanu, w tym z włączonymi, wyłączonymi i autodisabled.
Wybierz link widok MITRE, aby przejść do MITRE ATT&CK, gdzie możesz zobaczyć, jak środowisko jest chronione przed taktyką i technikami MITRE ATT&CK. Wybierz link Zarządzaj regułami analizy, aby przejść do strony Analiza, na której można wyświetlać reguły i zarządzać nimi, aby skonfigurować sposób wyzwalania alertów.
Następne kroki
Użyj szablonów skoroszytów, aby dokładniej poznać zdarzenia generowane w całym środowisku. Aby uzyskać więcej informacji, zobacz Wizualizowanie i monitorowanie danych przy użyciu skoroszytów w usłudze Microsoft Sentinel.
Włącz dzienniki zapytań usługi Log Analytics, aby pobrać wszystkie zapytania uruchamiane z obszaru roboczego. Aby uzyskać więcej informacji, zobacz Audit Microsoft Sentinel queries and activities (Inspekcja zapytań i działań usługi Microsoft Sentinel).
Dowiedz się więcej o zapytaniach używanych za widżetami pulpitu nawigacyjnego Przegląd . Aby uzyskać więcej informacji, zobacz Szczegółowe omówienie nowego pulpitu nawigacyjnego przeglądu usługi Microsoft Sentinel.