Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Når du har oprettet forbindelse mellem dine datakilder og Microsoft Sentinel, kan du bruge siden Oversigt til at få vist, overvåge og analysere aktiviteter på tværs af dit miljø. I denne artikel beskrives de widgets og grafer, der er tilgængelige på dashboardet Oversigt Microsoft Sentinel.
Vigtigt!
Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen.
Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender.
Forudsætninger
- Sørg for, at læseren har adgang til Microsoft Sentinel ressourcer. Du kan få flere oplysninger under Roller og tilladelser i Microsoft Sentinel.
Få adgang til siden Oversigt
Hvis dit arbejdsområde er onboardet til Microsoft Defender-portalen, skal du vælge Generel > oversigt. Ellers skal du vælge Oversigt direkte. Det kan f.eks. være:
Data for hver sektion i dashboardet forudberegnes, og tidspunktet for seneste opdatering vises øverst i hvert afsnit. Vælg Opdater øverst på siden for at opdatere hele siden.
Vis hændelsesdata
For at hjælpe med at reducere støj og minimere det antal beskeder, du skal gennemse og undersøge, bruger Microsoft Sentinel en fusionsteknik til at sammenholde beskeder med hændelser. Hændelser er handlingsgrupper med relaterede beskeder, som du kan undersøge og løse.
På følgende billede vises et eksempel på afsnittet Hændelser på dashboardet Oversigt :
I afsnittet Hændelser vises følgende data:
- Antallet af nye, aktive og lukkede hændelser i løbet af de seneste 24 timer.
- Det samlede antal hændelser for hver alvorsgrad.
- Antallet af lukkede hændelser for hver type slutklassificering.
- Hændelsesstatusser efter oprettelsestidspunkt i fire timers intervaller.
- Den gennemsnitlige tid til at bekræfte en hændelse og den gennemsnitlige tid til at lukke en hændelse med et link til SOC-effektivitetsprojektmappen.
Vælg Administrer hændelser for at gå til siden Microsoft Sentinel Hændelser for at få flere oplysninger.
Vis automatiseringsdata
Når du har udrullet automatisering med Microsoft Sentinel, kan du overvåge automatiseringen af dit arbejdsområde i afsnittet Automatisering på dashboardet Oversigt.
Start med en oversigt over aktiviteten for automatiseringsregler: Hændelser, der er lukket af automatisering, tidspunktet, hvor automatiseringen blev gemt, og tilstanden for relaterede playbooks.
Microsoft Sentinel beregner den tid, der spares ved at automatisere, ved at finde den gennemsnitlige tid, som en enkelt automatisering har gemt, ganget med antallet af hændelser, der er løst med automatisering. Formlen er som følger:
(avgWithout - avgWith) * resolvedByAutomationHvor:
- avgWithout er den gennemsnitlige tid, det tager for en hændelse at blive løst uden automatisering.
- avgWith er den gennemsnitlige tid, det tager for en hændelse at blive løst ved hjælp af automatisering.
- resolvedByAutomation er antallet af hændelser, der løses ved hjælp af automatisering.
Under oversigten opsummerer en graf antallet af handlinger udført af automatisering efter handlingstype.
Nederst i afsnittet kan du finde en optælling af de aktive automatiseringsregler med et link til siden Automatisering .
Vælg linket Konfigurer automatiseringsregler for at gå til siden Automatisering , hvor du kan konfigurere mere automatisering.
Få vist status for dataposter, dataindsamlere og trusselsintelligens
I afsnittet Data i dashboardet Oversigt kan du spore oplysninger om dataposter, dataindsamlere og trusselsintelligens.
Få vist følgende oplysninger:
Antallet af poster, der Microsoft Sentinel indsamlet inden for de seneste 24 timer sammenlignet med de forrige 24 timer, og uregelmæssigheder, der er registreret i den pågældende tidsperiode.
En oversigt over status for din dataconnector divideret med usunde og aktive connectors. Usunde forbindelser angiver, hvor mange connectors der har fejl. Aktive connectors er forbindelser med datastreaming til Microsoft Sentinel, målt af en forespørgsel, der er inkluderet i connectoren.
Trusselsintelligens registrerer i Microsoft Sentinel efter indikator for kompromis.
Vælg Administrer forbindelser for at gå til siden Dataconnectors , hvor du kan få vist og administrere dine dataconnectors.
Få vist analysedata
Spor data for dine analyseregler i afsnittet Analytics på oversigtsdashboardet .
Antallet af analyseregler i Microsoft Sentinel vises efter status, herunder aktiveret, deaktiveret og automatisk deaktiveret.
Vælg linket MITRE-visning for at gå til MITRE ATT-&CK, hvor du kan se, hvordan dit miljø er beskyttet mod MITRE ATT&CK-taktikker og -teknikker. Vælg linket Administrer analyseregler for at gå til siden Analytics , hvor du kan få vist og administrere de regler, der konfigurerer, hvordan beskeder udløses.
Næste trin
Brug projektmappeskabeloner til at dykke dybere ned i hændelser, der genereres på tværs af dit miljø. Du kan få flere oplysninger under Visualiser og overvåg dine data ved hjælp af projektmapper i Microsoft Sentinel.
Slå Log Analytics-forespørgselslogfiler til for at få alle forespørgsler kørt fra dit arbejdsområde. Du kan få flere oplysninger under Overvåg Microsoft Sentinel forespørgsler og aktiviteter.
Få mere at vide om de forespørgsler, der bruges bag oversigtsdashboardwidgets. Du kan få flere oplysninger under Detaljeret gennemgang af Microsoft Sentinel nye oversigtsdashboard.