Visualiser les données collectées dans la page Vue d’ensemble
Après avoir connecté vos sources de données à Microsoft Sentinel, utilisez la page Vue d’ensemble pour afficher, monitorer et analyser les activités dans votre environnement. Cet article décrit les widgets et graphiques disponibles dans le tableau de bord Vue d’ensemble de Microsoft Sentinel.
Important
Microsoft Sentinel est désormais en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft du portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.
Prérequis
- Vérifiez que vous disposez d’un accès en lecture aux ressources Microsoft Sentinel. Pour plus d’informations, consultez Autorisations et rôles dans Microsoft Sentinel.
Accéder à la page Vue d’ensemble
Si votre espace de travail est intégré à la plateforme d’opérations de sécurité unifiée, sélectionnez Général > Vue d’ensemble. Sinon, sélectionnez directement Vue d’ensemble. Par exemple :
Les données de chaque section du tableau de bord sont précalculées et la dernière heure d’actualisation est indiquée en haut de chaque section. Sélectionnez Actualiser en haut de la page pour actualiser la page entière.
Afficher les données de l’incident
Pour réduire le bruit et minimiser le nombre d’alertes que vous devez passer en revue et investiguer, Microsoft Sentinel utilise une technique de fusion pour mettre en corrélation les alertes avec des incidents. Les incidents sont des groupes actionnables d’alertes associées que vous pouvez investiguer et résoudre.
L’image suivante montre un exemple de la section Incidents dans le tableau de bord Vue d’ensemble :
La section Incidents répertorie les données suivantes :
- Nombre d’incidents nouveaux, actifs et fermés au cours des dernières 24 heures
- Nombre total d’incidents pour chaque gravité
- Nombre d’incidents fermés pour chaque type de classification de fermeture
- État des incidents par heure de création, par intervalles de quatre heures
- Temps moyen de réception d’un incident et temps moyen de fermeture d’un incident, avec un lien vers le classeur d’efficacité SOC
Pour obtenir plus de détails, sélectionnez Gérer les incidents afin d’accéder à la page Incidents de Microsoft Sentinel.
Afficher les données d’automatisation
Après avoir déployé l’automatisation avec Microsoft Sentinel, monitorez l’automatisation de votre espace de travail dans la section Automatisation du tableau de bord Vue d’ensemble.
Commencez par un résumé de l’activité des règles d’automatisation : incidents fermés par l’automatisation, heure d’enregistrement de l’automatisation et intégrité des playbooks associés.
Microsoft Sentinel calcule le temps gagné grâce à l’automatisation en déterminant le temps moyen qu’une seule automatisation a permis de gagner et en le multipliant par le nombre d’incidents résolus par l’automatisation. Voici la formule :
(avgWithout - avgWith) * resolvedByAutomationOù :
- avgWithout est le temps moyen nécessaire à la résolution d’un incident sans automatisation.
- avgWith est le temps moyen nécessaire à la résolution d’un incident par automatisation.
- resolvedByAutomation est le nombre d’incidents résolus par automatisation.
Sous le résumé, un graphique récapitule le nombre d’actions effectuées par l’automatisation, par type d’action.
En bas de la section, vous trouverez le nombre des règles d’automatisation actives avec un lien vers la page Automatisation.
Sélectionnez le lien Configurer des règles d’automatisation pour accéder à la page Automatisation dans laquelle vous pouvez configurer d’autres règles d’automatisation.
Afficher l’état des enregistrements de données, des collecteurs de données et du renseignement sur les menaces
Dans la section Données du tableau de bord Vue d’ensemble, suivez les informations sur les enregistrements de données, les collecteurs de données et la veille des menaces.
Examinez les informations suivantes :
Le nombre d’enregistrements collectés par Microsoft Sentinel au cours des dernières 24 heures, par rapport aux 24 heures précédentes, et les anomalies détectées au cours de cette période.
Un résumé de l’état des connecteurs de données, répartis en connecteurs non sains et connecteurs actifs. Les connecteurs non sains indiquent le nombre de connecteurs qui présentent des erreurs. Les connecteurs actifs sont des connecteurs avec le flux de données dans Microsoft Sentinel, tel que mesuré par une requête incluse dans le connecteur.
Les enregistrements de veille des menaces dans Microsoft Sentinel, par indicateur de compromission.
Sélectionnez Gérer les connecteurs pour accéder à la page Connecteurs de données dans laquelle vous pouvez afficher et gérer vos connecteurs de données.
Afficher les données des analyses
Suivez les données de vos règles d’analytique dans la section Analytique du tableau de bord Vue d’ensemble.
Les règles d’analytique dans Microsoft Sentinel sont affichées par état (activé, désactivé, désactivé automatiquement, etc.).
Sélectionnez le lien Vue MITRE pour accéder à MITRE ATT&CK où vous pouvez voir comment votre environnement est protégé contre les tactiques et techniques MITRE ATT&CK. Sélectionnez le lien Gérer les règles d’analytique pour passer à la page Analytique dans laquelle vous pouvez afficher et gérer les règles qui configurent le déclenchement des alertes.
Étapes suivantes
Utilisez des modèles de classeur pour examiner plus en profondeur les événements générés dans votre environnement. Pour plus d’informations, consultez Visualiser et surveiller vos données à l’aide de classeurs dans Microsoft Sentinel.
Activez les journaux de requêtes Log Analytics pour exécuter toutes les requêtes à partir de votre espace de travail. Pour plus d’informations, consultez Audit des requêtes et des activités Microsoft Sentinel.
Découvrez les requêtes sur lesquelles reposent les widgets du tableau de bord Vue d’ensemble. Pour plus d’informations, consultez la présentation approfondie du nouveau tableau de bord Vue d’ensemble de Microsoft Sentinel.