Visualizar dados coletados na página de visão Geral
Depois de conectar suas fontes de dados ao Microsoft Sentinel, use a página Visão Geral para exibir, monitorar e analisar atividades em seu ambiente. Este artigo descreve os widgets e grafos disponíveis no painel Visão Geral do Microsoft Sentinel.
Importante
O Microsoft Sentinel já está em disponibilidade geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para versão prévia, o Microsoft Sentinel está disponível no portal do Defender sem uma licença do E5 ou o Microsoft Defender XDR. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.
Pré-requisitos
- Verifique se você tem acesso de leitor aos recursos do Microsoft Sentinel. Para obter mais informações, consulte Funções e permissões no Microsoft Sentinel.
Acessar a página de visão geral
Se o workspace estiver integrado ao portal do Microsoft Defender, escolha Geral > Visão geral. Caso contrário, selecione Visão geral diretamente. Por exemplo:
Os dados de cada seção do painel são pré-calculados e a hora da última atualização é mostrada na parte superior de cada seção. Selecione Atualizar na parte superior da página para atualizar a página inteira.
Exibir dados de incidentes
Para ajudar a reduzir o ruído e minimizar o número de alertas que você precisa analisar e investigar, o Microsoft Sentinel usa uma técnica de fusão para correlacionar alertas a incidentes. Os incidentes são grupos acionáveis de alertas relacionados para você investigar e resolver.
A imagem a seguir mostra um exemplo da seção Incidentes no painel Visão Geral:
A seção Incidentes lista os seguintes dados:
- O número de incidentes novos, ativos e fechados nas últimas 24 horas.
- O número total de incidentes de cada gravidade.
- O número de incidentes fechados de cada tipo de classificação de fechamento.
- Status de incidente por tempo de criação, em intervalos de quatro horas.
- O tempo médio de reconhecimento de um incidente e o tempo médio de fechamento de um incidente, com um link para a pasta de trabalho de eficiência do SOC.
Selecione Gerenciar incidentes para acessar a página Incidentes do Microsoft Sentinel e obter mais detalhes.
Exibir dados de automação
Depois de implantar a automação com o Microsoft Sentinel, monitore a automação do workspace na seção Automação do painel de Visão geral.
Comece com um resumo da atividade das regras de automação: Incidentes fechados por automação, a hora em que a automação foi salva e a integridade dos guias estratégicos relacionados.
O Microsoft Sentinel calcula o tempo economizado pela automação encontrando o tempo médio que uma única automação salvou, multiplicado pelo número de incidentes resolvidos pela automação. A fórmula funciona da seguinte maneira:
(avgWithout - avgWith) * resolvedByAutomation
Onde:
- avgWithout é o tempo médio necessário para que um incidente seja resolvido sem automação.
- avgWith é o tempo médio necessário para que um incidente seja resolvido pela automação.
- resolvedByAutomation é o número de incidentes resolvidos pela automação.
Abaixo do resumo, um grafo resume o número de ações executadas por automação, por tipo de ação.
Na parte inferior da seção, encontre uma contagem das regras de automação ativas com um link para a página Automação.
Selecione o link configurar regras de automação para acessar a página Automação, na qual você pode configurar mais automação.
Exibir status dos registros de dados, coletores de dados e inteligência contra ameaças
Na seção Dados do painel de Visão geral, acompanhe as informações sobre registros de dados, coletores de dados e inteligência contra ameaças.
Confira os seguintes detalhes:
O número de registros que o Microsoft Sentinel coletou nas últimas 24 horas, em comparação às 24 horas anteriores, e as anomalias detectadas nesse período.
Um resumo do status do seu conector de dados, dividido por conectores não íntegros e ativos. Os conectores não íntegros indicam quantos conectores têm erros. Os conectores ativos são conectores com streaming de dados para o Microsoft Sentinel, conforme medido por uma consulta incluída no conector.
Os registros de inteligência contra ameaças no Microsoft Sentinel, por indicador de comprometimento.
Selecione Gerenciar conectores para acessar a página Conectores de dados, onde você pode visualizar e gerenciar seus conectores de dados.
Exibir dados de análise
Acompanhe os dados de suas regras de análise na seção Análise do painel de Visão Geral.
O número de regras de análise no Microsoft Sentinel é mostrado por status, incluindo habilitado, desabilitado e desabilitado automaticamente.
Selecione o link MITRE view para acessar o MITRE ATT&CK, onde você pode ver como seu ambiente é protegido contra táticas e técnicas MITRE ATT&CK. Selecione o link gerenciar regras de análise para acessar a página Análise, onde você pode exibir e gerenciar as regras que configuram como os alertas são disparados.
Próximas etapas
Use modelos de pasta de trabalho para se aprofundar nos eventos gerados em seu ambiente. Para obter mais informações, confira Visualizar e monitorar seus dados usando pastas de trabalho no Microsoft Sentinel.
Ative os logs de consulta do Log Analytics para que todas as consultas sejam executadas no workspace. Para obter mais informações, confira Auditar consultas e atividades do Microsoft Azure Sentinel.
Saiba mais sobre as consultas usadas por trás dos widgets de painel da Visão Geral. Para obter mais informações, consulte Saiba mais sobre o novo painel de visão geral do Microsoft Sentinel.