Compartilhar via


Visualizar dados coletados na página de visão Geral

Depois de conectar suas fontes de dados ao Microsoft Sentinel, use a página Visão Geral para exibir, monitorar e analisar atividades em seu ambiente. Este artigo descreve os widgets e grafos disponíveis no painel Visão Geral do Microsoft Sentinel.

Importante

O Microsoft Sentinel já está em disponibilidade geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para versão prévia, o Microsoft Sentinel está disponível no portal do Defender sem uma licença do E5 ou o Microsoft Defender XDR. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

Acessar a página de visão geral

Se o workspace estiver integrado ao portal do Microsoft Defender, escolha Geral > Visão geral. Caso contrário, selecione Visão geral diretamente. Por exemplo:

Captura de tela do painel Visão geral do Microsoft Sentinel.

Os dados de cada seção do painel são pré-calculados e a hora da última atualização é mostrada na parte superior de cada seção. Selecione Atualizar na parte superior da página para atualizar a página inteira.

Exibir dados de incidentes

Para ajudar a reduzir o ruído e minimizar o número de alertas que você precisa analisar e investigar, o Microsoft Sentinel usa uma técnica de fusão para correlacionar alertas a incidentes. Os incidentes são grupos acionáveis de alertas relacionados para você investigar e resolver.

A imagem a seguir mostra um exemplo da seção Incidentes no painel Visão Geral:

Captura de tela da seção Incidentes na página de visão geral do Microsoft Sentinel.

A seção Incidentes lista os seguintes dados:

  • O número de incidentes novos, ativos e fechados nas últimas 24 horas.
  • O número total de incidentes de cada gravidade.
  • O número de incidentes fechados de cada tipo de classificação de fechamento.
  • Status de incidente por tempo de criação, em intervalos de quatro horas.
  • O tempo médio de reconhecimento de um incidente e o tempo médio de fechamento de um incidente, com um link para a pasta de trabalho de eficiência do SOC.

Selecione Gerenciar incidentes para acessar a página Incidentes do Microsoft Sentinel e obter mais detalhes.

Exibir dados de automação

Depois de implantar a automação com o Microsoft Sentinel, monitore a automação do workspace na seção Automação do painel de Visão geral.

Captura de tela da seção Automação na página de visão geral do Microsoft Sentinel.

  • Comece com um resumo da atividade das regras de automação: Incidentes fechados por automação, a hora em que a automação foi salva e a integridade dos guias estratégicos relacionados.

    O Microsoft Sentinel calcula o tempo economizado pela automação encontrando o tempo médio que uma única automação salvou, multiplicado pelo número de incidentes resolvidos pela automação. A fórmula funciona da seguinte maneira:

    (avgWithout - avgWith) * resolvedByAutomation

    Onde:

    • avgWithout é o tempo médio necessário para que um incidente seja resolvido sem automação.
    • avgWith é o tempo médio necessário para que um incidente seja resolvido pela automação.
    • resolvedByAutomation é o número de incidentes resolvidos pela automação.
  • Abaixo do resumo, um grafo resume o número de ações executadas por automação, por tipo de ação.

  • Na parte inferior da seção, encontre uma contagem das regras de automação ativas com um link para a página Automação.

Selecione o link configurar regras de automação para acessar a página Automação, na qual você pode configurar mais automação.

Exibir status dos registros de dados, coletores de dados e inteligência contra ameaças

Na seção Dados do painel de Visão geral, acompanhe as informações sobre registros de dados, coletores de dados e inteligência contra ameaças.

Captura de tela da seção Dados na página de visão geral do Microsoft Sentinel.

Confira os seguintes detalhes:

  • O número de registros que o Microsoft Sentinel coletou nas últimas 24 horas, em comparação às 24 horas anteriores, e as anomalias detectadas nesse período.

  • Um resumo do status do seu conector de dados, dividido por conectores não íntegros e ativos. Os conectores não íntegros indicam quantos conectores têm erros. Os conectores ativos são conectores com streaming de dados para o Microsoft Sentinel, conforme medido por uma consulta incluída no conector.

  • Os registros de inteligência contra ameaças no Microsoft Sentinel, por indicador de comprometimento.

Selecione Gerenciar conectores para acessar a página Conectores de dados, onde você pode visualizar e gerenciar seus conectores de dados.

Exibir dados de análise

Acompanhe os dados de suas regras de análise na seção Análise do painel de Visão Geral.

Captura de tela da seção Análise na página de visão geral do Microsoft Sentinel.

O número de regras de análise no Microsoft Sentinel é mostrado por status, incluindo habilitado, desabilitado e desabilitado automaticamente.

Selecione o link MITRE view para acessar o MITRE ATT&CK, onde você pode ver como seu ambiente é protegido contra táticas e técnicas MITRE ATT&CK. Selecione o link gerenciar regras de análise para acessar a página Análise, onde você pode exibir e gerenciar as regras que configuram como os alertas são disparados.

Próximas etapas