在概觀頁面上視覺化已收集的資料
將資料來源連線到 Microsoft Sentinel 之後,請使用 [概觀] 頁面來檢視、監視和分析整個環境的活動。 本文說明 MPicrosoft Sentinel [概觀] 儀表板上可用的小工具與圖表。
重要
Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
必要條件
- 請確定您擁有 Microsoft Sentinel 資源的讀取者存取權。 如需詳細資訊,請參閱 Microsoft Sentinel 中的角色和權限。
存取 [概觀] 頁面
如果工作區已上線至整合安全性作業平台,請選取 [一般] > [概觀]。 否則,請直接選取 [概觀]。 例如:
儀表板的每個區段都會預先計算資料,最後一次重新整理時間會顯示在每個區段頂端。 選取頁面頂端的 [重新整理] 重新整理整個頁面。
檢視事件資料
為了協助減少雜訊並盡可能減少您必須檢閱和調查的警示數目,Microsoft Sentinel 使用融合技巧讓警示相互關聯成為事件。 事件是相關警示的可採取動作群組,可供您調查和解決。
下圖顯示[概觀] 儀表板上 [事件] 區段的範例:
![Microsoft Sentinel [概觀] 頁面中 [事件] 區段的螢幕擷取畫面。](media/qs-get-visibility/incidents.png#lightbox)
[事件] 區段列出下列資料:
- 過去 24 小時內的全新、作用中和已關閉事件數目。
- 每個嚴重性的事件總數。
- 每個關閉分類類型的已關閉事件數目。
- 事件狀態會依建立時間,以四小時間隔為單位。
- 確認事件的平均時間和已關閉事件的平均時間,以及 SOC 效率活頁簿的連結。
選取 [管理事件],以跳至 Microsoft Sentinel [事件] 頁面瞭解詳細資訊。
檢視自動化資料
使用 Microsoft Sentinel 部署自動化之後,請在 [概觀] 儀表板的 [自動化] 區段中監視工作區的自動化。
![Microsoft Sentinel [概觀] 頁面中 [自動化] 區段的螢幕擷取畫面。](media/qs-get-visibility/automation.png#lightbox)
從自動化規則活動的摘要開始:自動化所關閉的事件、自動化儲存的時間,以及相關的劇本狀況。
Microsoft Sentinel 藉由尋找單一自動化所儲存的平均時間,乘以自動化解決的事件數目,藉以計算自動化所節省的時間。 公式如下:
(avgWithout - avgWith) * resolvedByAutomation其中:
- avgWithout 是不需要自動化就能解決事件的平均時間。
- avgWith 是自動化解決事件所需的平均時間。
- resolvedByAutomation 是自動化所解決的事件數目。
摘要下方的圖表會依動作類型摘要說明自動化所執行的動作數目。
在區段底部,尋找使用中自動化規則的計數,其中包含 [自動化] 頁面的連結。
選取 [自動化] 頁面的 [設定自動化規則] 連結,您可以在其中設定更多自動化。
檢視資料記錄、資料收集器和威脅情報的狀態
在 [概觀] 儀表板的 [資料] 區段中,追蹤資料記錄、資料收集器和威脅情報的相關資訊。
![Microsoft Sentinel [概觀] 頁面中 [資料] 區段的螢幕擷取畫面。](media/qs-get-visibility/data.png#lightbox)
檢視下列詳細資料:
在過去 24 小時內收集 Microsoft Sentinel 的記錄數目,與前 24 小時相比,以及在該期間偵測到的異常狀況。
資料連接器狀態的摘要,除以狀況不良和作用中連接器。 狀況不良的連接器指出有多少連接器發生錯誤。 作用中連接器是資料會串流至 Microsoft Sentinel 的連接器,如連接器中包含的查詢所測量。
Microsoft Sentinel 中的威脅情報記錄,依入侵指標顯示。
選取 [管理連接器] 跳至 [資料連接器] 頁面,您可以在其中檢視和管理資料連接器。
檢視分析資料
在[概觀] 儀表板的 [分析] 區段中追蹤分析規則的資料。
![Microsoft Sentinel [概觀] 頁面中 [分析] 區段的螢幕擷取畫面。](media/qs-get-visibility/analytics.png)
Microsoft Sentinel 中的分析規則數目會依狀態顯示,包括已啟用、停用和自動停用。
選取 [MITRE 檢視] 連結以跳至 MITRE ATT&CK,您可以在其中檢視環境如何受到 MITRE ATT&CK 策略和技術的保護。 選取 [管理分析規則] 連結以跳至 [分析] 頁面,您可以在其中檢視和管理設定警示觸發方式的規則。
下一步
使用活頁簿範本深入探討整個環境所產生的事件。 如需詳細資訊,請參閱在 Microsoft Sentinel 中使用活頁簿將您的資料視覺化並加以監視。
開啟 Log Analytics 查詢記錄,從您的工作區執行全部查詢。 如需詳細資訊,請參閱稽核 Microsoft Sentinel 查詢和活動。
瞭解[概觀] 儀表板小工具背後的查詢。 如需詳細資訊,請參閱深入探討 Microsoft Sentinel 的全新概觀儀表板。