Visualisera insamlade data på översiktssidan

Artikel
05/31/2024
Gäller för:

Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

När du har anslutit dina datakällor till Microsoft Sentinel använder du sidan Översikt för att visa, övervaka och analysera aktiviteter i din miljö. Den här artikeln beskriver de widgetar och grafer som är tillgängliga på Microsoft Sentinels översiktsinstrumentpanel.

Viktigt!

Microsoft Sentinel är nu allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Förutsättningar

Kontrollera att du har läsåtkomst till Microsoft Sentinel-resurser. Mer information finns i Roller och behörigheter i Microsoft Sentinel.

Gå till översiktssidan

Om din arbetsyta är registrerad på plattformen för enhetliga säkerhetsåtgärder väljer du Allmän > översikt. Annars väljer du Översikt direkt. Till exempel:

Skärmbild av instrumentpanelen Översikt för Microsoft Sentinel.

Data för varje avsnitt på instrumentpanelen är förberäknade och den senaste uppdateringstiden visas överst i varje avsnitt. Välj Uppdatera överst på sidan för att uppdatera hela sidan.

Visa incidentdata

För att minska bruset och minimera antalet aviseringar som du behöver granska och undersöka använder Microsoft Sentinel en fusionsteknik för att korrelera aviseringar till incidenter. Incidenter är åtgärdsbara grupper med relaterade aviseringar som du kan undersöka och lösa.

Följande bild visar ett exempel på avsnittet Incidenter på instrumentpanelen Översikt :

I avsnittet Incidenter visas följande data:

Antalet nya, aktiva och stängda incidenter under de senaste 24 timmarna.
Det totala antalet incidenter av varje allvarlighetsgrad.
Antalet stängda incidenter för varje typ av avslutande klassificering.
Incidentstatus efter skapandetid, i fyra timmars intervall.
Den genomsnittliga tiden för att bekräfta en incident och tiden för att stänga en incident, med en länk till SOC-arbetsboken för effektivitet.

Välj Hantera incidenter för att gå till sidan Microsoft Sentinel-incidenter för mer information.

Visa automationsdata

När du har distribuerat automatisering med Microsoft Sentinel övervakar du din arbetsytas automatisering i avsnittet Automation på instrumentpanelen Översikt.

Börja med en sammanfattning av aktiviteten automationsregler: Incidenter som stängs av automatisering, den tid då automatiseringen sparades och relaterade spelböckers hälsa.

Microsoft Sentinel beräknar den tid som sparats genom automatisering genom att hitta den genomsnittliga tid som en enskild automatisering sparade, multiplicerat med antalet incidenter som löstes av automatisering. Formeln ser ut så här:

(avgWithout - avgWith) * resolvedByAutomation

Där:
- avgWithout är den genomsnittliga tid det tar för en incident att lösas utan automatisering.
- avgWith är den genomsnittliga tid det tar för en incident att lösas av automatisering.
- resolvedByAutomation är antalet incidenter som åtgärdas av automatisering.
Under sammanfattningen sammanfattar ett diagram antalet åtgärder som utförs av automatisering, efter typ av åtgärd.
Längst ned i avsnittet hittar du ett antal aktiva automatiseringsregler med en länk till sidan Automation .

Välj länken Konfigurera automatiseringsregler till sidan Hoppa över Automation, där du kan konfigurera mer automatisering.

Visa status för dataposter, datainsamlare och hotinformation

I avsnittet Data på instrumentpanelen Översikt spårar du information om dataposter, datainsamlare och hotinformation.

Visa följande information:

Antalet poster som Microsoft Sentinel har samlat in under de senaste 24 timmarna, jämfört med de föregående 24 timmarna, och avvikelser som identifierats under den tidsperioden.
En sammanfattning av statusen för dataanslutningsappen, dividerat med feltillstånd och aktiva anslutningsappar. Feltillståndsanslutningar anger hur många anslutningsappar som har fel. Aktiva anslutningsappar är anslutningsappar med dataströmning till Microsoft Sentinel, mätt med en fråga som ingår i anslutningsappen.
Hotinformationsposter i Microsoft Sentinel, som en indikator på kompromisser.

Välj Hantera anslutningsappar för att gå till sidan Dataanslutningar , där du kan visa och hantera dina dataanslutningar.

Visa analysdata

Spåra data för dina analysregler i avsnittet Analys på instrumentpanelen Översikt .

Skärmbild av avsnittet Analys på sidan Översikt för Microsoft Sentinel.

Antalet analysregler i Microsoft Sentinel visas med status, inklusive aktiverad, inaktiverad och automatiskt urskiljbar.

Välj MITRE-vylänken för att gå till MITRE ATT&CK, där du kan se hur din miljö skyddas mot MITRE ATT&CK-taktik och -tekniker. Välj länken Hantera analysregler för att gå till sidan Analys, där du kan visa och hantera de regler som konfigurerar hur aviseringar utlöses.

Nästa steg

Använd arbetsboksmallar för att fördjupa dig i händelser som genereras i din miljö. Mer information finns i Visualisera och övervaka dina data med hjälp av arbetsböcker i Microsoft Sentinel.
Aktivera Log Analytics-frågeloggar för att få alla frågor att köras från din arbetsyta. Mer information finns i Granska Microsoft Sentinel-frågor och aktiviteter.
Lär dig mer om de frågor som används bakom widgetarna för översiktsinstrumentpanelen. Mer information finns i Djupdykning i Microsoft Sentinels nya översiktsinstrumentpanel.

Dela via