Visualizzare i dati raccolti nella pagina Panoramica

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Dopo aver connesso le origini dati a Microsoft Sentinel, usare la pagina Panoramica per visualizzare, monitorare e analizzare le attività nell'ambiente. Questo articolo descrive i widget e i grafici disponibili nel dashboard Panoramica di Microsoft Sentinel.

Importante

Microsoft Sentinel è disponibile come parte della piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Microsoft Sentinel nel portale di Defender è ora supportato per l'uso in produzione. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Prerequisiti

• Assicurarsi di avere accesso in lettura alle risorse di Microsoft Sentinel. Per altre informazioni, vedere Ruoli e autorizzazioni in Microsoft Sentinel.

Accedere alla pagina Panoramica

Se l'area di lavoro viene eseguita l'onboarding nella piattaforma unificata per le operazioni di sicurezza, selezionare Panoramica generale>. In caso contrario, selezionare Panoramica direttamente. Ad esempio:

I dati per ogni sezione del dashboard vengono precalcolati e l'ora dell'ultimo aggiornamento viene visualizzata nella parte superiore di ogni sezione. Selezionare Aggiorna nella parte superiore della pagina per aggiornare l'intera pagina.

Visualizzare i dati degli eventi imprevisti

Per ridurre il rumore e ridurre al minimo il numero di avvisi da esaminare e analizzare, Microsoft Sentinel usa una tecnica di fusione per correlare gli avvisi in eventi imprevisti. Gli eventi imprevisti sono gruppi interattivi di avvisi correlati per l'analisi e la risoluzione.

L'immagine seguente mostra un esempio della sezione Eventi imprevisti nel dashboard Panoramica :

La sezione Eventi imprevisti elenca i dati seguenti:

• Numero di eventi imprevisti nuovi, attivi e chiusi nelle ultime 24 ore.
• Numero totale di eventi imprevisti di ogni gravità.
• Numero di eventi imprevisti chiusi di ogni tipo di classificazione di chiusura.
• Stato dell'evento imprevisto in base all'ora di creazione, in intervalli di quattro ore.
• Tempo medio per riconoscere un evento imprevisto e il tempo medio per chiudere un evento imprevisto, con un collegamento alla cartella di lavoro di efficienza SOC.

Selezionare Gestisci eventi imprevisti per passare alla pagina Eventi imprevisti di Microsoft Sentinel per altri dettagli.

Visualizzare i dati di automazione

Dopo aver distribuito l'automazione con Microsoft Sentinel, monitorare l'automazione dell'area di lavoro nella sezione Automazione del dashboard Panoramica .

• Iniziare con un riepilogo dell'attività delle regole di automazione: eventi imprevisti chiusi dall'automazione, ora in cui l'automazione è stata salvata e l'integrità dei playbook correlati.

  Microsoft Sentinel calcola il tempo risparmiato dall'automazione individuando il tempo medio di salvataggio di una singola automazione, moltiplicato per il numero di eventi imprevisti risolti dall'automazione. La formula è la seguente:

  (avgWithout - avgWith) * resolvedByAutomation

  Dove:

  • avgWithout è il tempo medio necessario per la risoluzione di un evento imprevisto senza automazione.
  • avgWith è il tempo medio necessario per risolvere un evento imprevisto tramite l'automazione.
  • resolvedByAutomation è il numero di eventi imprevisti risolti dall'automazione.

• Sotto il riepilogo, un grafico riepiloga i numeri di azioni eseguite dall'automazione, in base al tipo di azione.

• Nella parte inferiore della sezione trovare un conteggio delle regole di automazione attive con un collegamento alla pagina Automazione .

Selezionare il collegamento Configura regole di automazione per passare alla pagina Di automazione , in cui è possibile configurare più automazione.

Visualizzare lo stato dei record di dati, gli agenti di raccolta dati e l'intelligence sulle minacce

Nella sezione Dati del dashboard Panoramica tenere traccia delle informazioni sui record di dati, gli agenti di raccolta dati e l'intelligence sulle minacce.

Visualizzare i dettagli seguenti:

• Numero di record raccolti da Microsoft Sentinel nelle ultime 24 ore, rispetto alle 24 ore precedenti e anomalie rilevate in tale periodo di tempo.

• Riepilogo dello stato del connettore dati, diviso per connettori non integri e attivi. I connettori non integri indicano il numero di connettori con errori. I connettori attivi sono connettori con flusso di dati in Microsoft Sentinel, come misurato da una query inclusa nel connettore.

• Record di Intelligence sulle minacce in Microsoft Sentinel, per indicatore di compromissione.

Selezionare Gestisci connettori per passare alla pagina Connettori dati, in cui è possibile visualizzare e gestire i connettori dati.

Visualizzare i dati di analisi

Tenere traccia dei dati per le regole di analisi nella sezione Analisi del dashboard Panoramica .

Il numero di regole di analisi in Microsoft Sentinel viene visualizzato in base allo stato, tra cui abilitato, disabilitato e didisponibile automaticamente.

Selezionare il collegamento MITRE view (Vista MITRE) per passare a MITRE ATT&CK, dove è possibile visualizzare il modo in cui l'ambiente è protetto dalle tattiche e dalle tecniche MITRE ATT&CK. Selezionare il collegamento Gestisci regole di analisi per passare alla pagina Analisi , in cui è possibile visualizzare e gestire le regole che configurano il modo in cui vengono attivati gli avvisi.

Passaggi successivi

• Usare i modelli di cartella di lavoro per approfondire gli eventi generati nell'ambiente in uso. Per altre informazioni, vedere Visualizzare e monitorare i dati usando le cartelle di lavoro in Microsoft Sentinel.

• Attivare i log delle query di Log Analytics per ottenere tutte le query eseguite dall'area di lavoro. Per altre informazioni, vedere Controllare query e attività di Microsoft Sentinel.

• Informazioni sulle query usate dietro i widget del dashboard Panoramica . Per altre informazioni, vedere Approfondimenti sul nuovo dashboard panoramica di Microsoft Sentinel.