Verzamelde gegevens visualiseren op de pagina Overzicht

  • Van toepassing op: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Nadat u uw gegevensbronnen hebt verbonden met Microsoft Sentinel, gebruikt u de pagina Overzicht om activiteiten in uw omgeving weer te geven, te bewaken en te analyseren. In dit artikel worden de widgets en grafieken beschreven die beschikbaar zijn op het dashboard Overzicht van Microsoft Sentinel.

Belangrijk

Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal.

Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden.

Vereisten

De pagina Overzicht openen

Als uw werkruimte is toegevoegd aan de Microsoft Defender-portal, selecteert u Algemeen > overzicht. Selecteer anders rechtstreeks Overzicht . Bijvoorbeeld:

Schermopname van het dashboard Microsoft Sentinel Overzicht.

Gegevens voor elke sectie van het dashboard worden vooraf berekend en de laatste vernieuwingstijd wordt bovenaan elke sectie weergegeven. Selecteer Vernieuwen bovenaan de pagina om de hele pagina te vernieuwen.

Incidentgegevens weergeven

Om ruis te verminderen en het aantal waarschuwingen te minimaliseren dat u moet controleren en onderzoeken, gebruikt Microsoft Sentinel een fusietechniek om waarschuwingen te correleren met incidenten. Incidenten zijn actie-bare groepen gerelateerde waarschuwingen die u kunt onderzoeken en oplossen.

In de volgende afbeelding ziet u een voorbeeld van de sectie Incidenten op het dashboard Overzicht :

Schermopname van de sectie Incidenten op de pagina Microsoft Sentinel Overzicht.

De sectie Incidenten bevat de volgende gegevens:

  • Het aantal nieuwe, actieve en gesloten incidenten in de afgelopen 24 uur.
  • Het totale aantal incidenten van elke ernst.
  • Het aantal gesloten incidenten van elk type afsluitende classificatie.
  • Incidentstatussen per aanmaaktijd, in intervallen van vier uur.
  • De gemiddelde tijd om een incident te bevestigen en de gemiddelde tijd om een incident te sluiten, met een koppeling naar de SOC-efficiëntiewerkmap.

Selecteer Incidenten beheren om naar de pagina Microsoft Sentinel Incidenten te gaan voor meer informatie.

Automatiseringsgegevens weergeven

Nadat u automatisering met Microsoft Sentinel hebt geïmplementeerd, controleert u de automatisering van uw werkruimte in de sectie Automatisering van het dashboard Overzicht.

Schermopname van de sectie Automation op de pagina Overzicht van Microsoft Sentinel.

  • Begin met een samenvatting van de activiteit automatiseringsregels: Incidenten die zijn gesloten door automatisering, de tijd waarop de automatisering is opgeslagen en de status van gerelateerde playbooks.

    Microsoft Sentinel berekent de tijd die door automatisering is bespaard door de gemiddelde tijd te vinden die één automatisering heeft bespaard, vermenigvuldigd met het aantal incidenten dat is opgelost door automatisering. De formule ziet er als volgt uit:

    (avgWithout - avgWith) * resolvedByAutomation

    Waarbij:

    • avgWithout is de gemiddelde tijd die nodig is om een incident zonder automatisering op te lossen.
    • avgWith is de gemiddelde tijd die nodig is om een incident op te lossen door automatisering.
    • resolvedByAutomation is het aantal incidenten dat wordt opgelost door automatisering.

  • Onder de samenvatting geeft een grafiek een overzicht van het aantal acties dat door automatisering is uitgevoerd, per type actie.

  • Zoek onder in de sectie een telling van de actieve automatiseringsregels met een koppeling naar de automation-pagina .

Selecteer de koppeling Automatiseringsregels configureren naar de sprong op de pagina Automation , waar u meer automatisering kunt configureren.

Status van gegevensrecords, gegevensverzamelaars en bedreigingsinformatie weergeven

Houd in de sectie Gegevens van het dashboard Overzicht informatie bij over gegevensrecords, gegevensverzamelaars en bedreigingsinformatie.

Schermopname van de sectie Gegevens op de pagina Microsoft Sentinel Overzicht.

Bekijk de volgende details:

  • Het aantal records dat Microsoft Sentinel verzameld in de afgelopen 24 uur, vergeleken met de vorige 24 uur, en afwijkingen gedetecteerd in die periode.

  • Een samenvatting van de status van uw gegevensconnector, gedeeld door beschadigde en actieve connectors. Beschadigde connectors geven aan hoeveel connectors fouten hebben. Actieve connectors zijn connectors met gegevens die naar Microsoft Sentinel worden gestreamd, zoals gemeten door een query in de connector.

  • Records van bedreigingsinformatie in Microsoft Sentinel, op basis van een indicator van inbreuk.

Selecteer Connectors beheren om naar de pagina Gegevensconnectors te gaan, waar u uw gegevensconnectors kunt bekijken en beheren.

Analysegegevens weergeven

Gegevens voor uw analyseregels bijhouden in de sectie Analyse van het dashboard Overzicht .

Schermopname van de sectie Analyse op de pagina Microsoft Sentinel Overzicht.

Het aantal analyseregels in Microsoft Sentinel wordt weergegeven met de status, inclusief ingeschakeld, uitgeschakeld en automatisch uitgeschakeld.

Selecteer de mitre-weergavekoppeling om naar de MITRE ATT&CK te gaan, waar u kunt zien hoe uw omgeving is beveiligd tegen MITRE ATT&CK-tactieken en -technieken. Selecteer de koppeling Analyseregels beheren om naar de pagina Analyse te gaan, waar u de regels kunt bekijken en beheren waarmee wordt geconfigureerd hoe waarschuwingen worden geactiveerd.

Volgende stappen

  • Last updated on