在 [概觀] 頁面上將收集的數據可視化
將數據源連線到 Microsoft Sentinel 之後,請使用 [概觀] 頁面來檢視、監視和分析整個環境的活動。 本文說明 Microsoft Sentinel 概 觀 儀錶板上可用的小工具與圖表。
重要
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
必要條件
- 請確定您有 Microsoft Sentinel 資源的讀取者存取權。 如需詳細資訊,請參閱 Microsoft Sentinel 中的角色和許可權。
存取 [概觀] 頁面
如果您的工作區已上線至統一安全性作業平臺,請選取 [ 一般 > 概觀]。 否則,請直接選取 [ 概觀 ]。 例如:
儀錶板的每個區段都會預先計算數據,最後一次重新整理時間會顯示在每個區段頂端。 選取 頁面頂端的 [重新 整理],以重新整理整個頁面。
檢視事件數據
為了協助減少雜訊並將您需要檢閱和調查的警示數目降到最低,Microsoft Sentinel 會使用融合技術將警示 與事件相互關聯。 事件是相關警示的可採取動作群組,可供您調查和解決。
下圖顯示概觀儀錶板上 [事件] 區段的範例:
![Microsoft Sentinel [概觀] 頁面中 [事件] 區段的螢幕快照。](media/qs-get-visibility/incidents.png#lightbox)
[ 事件] 區 段會列出下列數據:
- 過去 24 小時內的新、作用中和關閉事件數目。
- 每個嚴重性的事件總數。
- 每種關閉分類類型的已關閉事件數目。
- 事件狀態會依建立時間,以四小時間隔為單位。
- 確認事件的平均時間和關閉事件的平均時間,以及SOC效率活頁簿的連結。
選取 [管理事件 ] 以跳至 [Microsoft Sentinel 事件] 頁面以取得詳細數據。
檢視自動化數據
使用 Microsoft Sentinel 部署自動化之後,請在 [概觀] 儀錶板的[自動化] 區段中監視工作區的自動化。
![Microsoft Sentinel [概觀] 頁面中自動化區段的螢幕快照。](media/qs-get-visibility/automation.png#lightbox)
從自動化規則活動的摘要開始:自動化所關閉的事件、自動化儲存的時間,以及相關的劇本健康情況。
Microsoft Sentinel 會尋找單一自動化所儲存的平均時間,乘以自動化解決的事件數目,藉以計算自動化所節省的時間。 公式如下:
(avgWithout - avgWith) * resolvedByAutomation其中:
- avgWithout 是不需要自動化就能解決事件的平均時間。
- avgWith 是自動化解決事件所需的平均時間。
- resolvedByAutomation 是自動化所解決的事件數目。
摘要下方的圖表會依動作類型摘要說明自動化所執行的動作數目。
在區段底部,尋找具有 [自動化] 頁面連結的作用中自動化規則計數。
選取 [設定 自動化規則] 連結以跳躍 [自動化 ] 頁面,您可以在其中設定更多自動化。
檢視數據記錄、數據收集器和威脅情報的狀態
在 [概觀] 儀錶板的[數據] 區段中,追蹤數據記錄、數據收集器和威脅情報的相關信息。
![Microsoft Sentinel [概觀] 頁面中 [數據] 區段的螢幕快照。](media/qs-get-visibility/data.png#lightbox)
檢視下列詳細資料:
Microsoft Sentinel 在過去 24 小時內收集的記錄數目,與前 24 小時相比,以及在該期間偵測到的異常狀況。
數據連接器狀態的摘要,除以狀況不良和作用中連接器。 狀況不良的 連接器指出有多少連接器發生錯誤。 使用中連接器 是連接器,其數據會串流至 Microsoft Sentinel,如連接器中包含的查詢所測量。
Microsoft Sentinel 中的威脅情報記錄,表示入侵。
選取 [管理連接器 ] 以跳至 [數據連接器 ] 頁面,您可以在其中檢視及管理數據連接器。
檢視分析資料
在 [概觀] 儀錶板的 [分析] 區段中,追蹤分析規則的數據。
![Microsoft Sentinel [概觀] 頁面中 [分析] 區段的螢幕快照。](media/qs-get-visibility/analytics.png)
Microsoft Sentinel 中的分析規則數目會依狀態顯示,包括啟用、停用和自動顯示。
選取 MITRE 檢視連結以跳至 MITRE ATT&CK,您可以在其中檢視環境如何受到 MITRE ATT&CK 策略和技術的保護。 選取 [管理分析規則] 連結以跳至 [分析] 頁面,您可以在其中檢視和管理設定警示觸發方式的規則。
下一步
使用活頁簿範本深入探討整個環境所產生的事件。 如需詳細資訊,請參閱 在 Microsoft Sentinel 中使用活頁簿可視化和監視您的數據。
開啟 Log Analytics 查詢記錄,從您的工作區執行所有查詢。 如需詳細資訊,請參閱 稽核 Microsoft Sentinel 查詢和活動。
瞭解概觀儀錶板小工具背後的查詢。 如需詳細資訊,請參閱 深入探討 Microsoft Sentinel 的新概觀儀錶板。
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: