Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Kun olet yhdistänut tietolähteet Microsoft Sentinel, tarkastele, valvo ja analysoi ympäristösi toimintoja Yleiskatsaus-sivulla. Tässä artikkelissa kuvataan Microsoft Sentinel Yleiskatsaus-koontinäytössä käytettävissä olevat pienoissovellukset ja kaaviot.
Tärkeää
31.3.2027 jälkeen Microsoft Sentinel ei enää tueta Azure-portaali ja se on käytettävissä vain Microsoft Defender-portaalissa. Kaikki asiakkaat, jotka käyttävät Microsoft Sentinel Azure-portaali, ohjataan Defender-portaaliin ja he käyttävät Microsoft Sentinel vain Defender-portaalissa.
Jos käytät edelleen Microsoft Sentinel Azure-portaali, suosittelemme, että aloitat Defender-portaaliin siirtymisen suunnittelun, jotta siirtyminen olisi sujuvaa ja jotta voit hyödyntää täysin Microsoft Defender tarjoamaa yhtenäistä suojaustoimintokokemusta.
Ennakkovaatimukset
- Varmista, että sinulla on lukijan oikeudet Microsoft Sentinel resursseihin. Lisätietoja on artikkelissa Microsoft Sentinel roolit ja käyttöoikeudet.
Yleiskatsaus-sivun käyttäminen
Jos työtilasi on otettu käyttöön Microsoft Defender-portaalissa, valitse Yleinen > yleiskatsaus. Muussa tapauksessa valitse suoraan Yleiskatsaus . Esimerkki:
Koontinäytön kunkin osan tiedot on esilaskettu, ja viimeisin päivitysaika näytetään kunkin osan yläosassa. Päivitä koko sivu valitsemalla sivun yläreunasta Päivitä .
Näytä tapahtumatiedot
Melun vähentämiseksi ja hälytysten määrän pienentämiseksi sinun on tarkistettava ja tutkittava, Microsoft Sentinel käyttää fuusiotekniikkaa korreloidakseen hälytykset tapauksiin. Tapaukset ovat toiminnallisia liittyvien hälytysten ryhmiä, joita voit tutkia ja ratkaista.
Seuraavassa kuvassa on esimerkki Tapaukset-osiosta Yleiskatsaus-koontinäytössä:
Tapahtumat-osiossa luetellaan seuraavat tiedot:
- Uusien, aktiivisten ja suljettujen tapausten määrä viimeisen 24 tunnin aikana.
- Kunkin vakavuusasteen tapausten kokonaismäärä.
- Suljettujen tapausten määrä kussakin sulkemisluokituksen tyypissä.
- Tapausten tilat luontiajan mukaan neljän tunnin välein.
- Keskimääräinen aika hyväksyä tapaus ja keskimääräinen aika tapahtuman sulkemiselle, linkki SOC:n tehokkuustyökirjaan.
Saat lisätietoja valitsemalla Tapausten hallinta ja siirtymällä Microsoft Sentinel-tapausten sivulle.
Automaatiotietojen tarkasteleminen
Kun olet ottanut automaation käyttöön Microsoft Sentinel avulla, valvo työtilan automaatiota Yleiskatsaus-koontinäytön Automaatio-osassa.
Aloita yhteenvedolla automaatiosääntöjen toiminnasta: automaation sulkemista tapauksista, automaation tallennusajasta ja siihen liittyvistä pelikirjojen kunnosta.
Microsoft Sentinel laskee automaatiolla tallennetun ajan etsimällä keskimääräisen ajan, jonka yksittäinen automaatio tallensi kerrottuna automaatiolla ratkaistujen tapausten määrällä. Kaava on seuraava:
(avgWithout - avgWith) * resolvedByAutomationJossa:
- avgWithout on keskimääräinen aika, joka kuluu siihen, että tapaus ratkaistaan ilman automaatiota.
- avgWith on keskimääräinen aika, joka kuluu siihen, että tapaus ratkaistaan automaation avulla.
- resolvedByAutomation on automaatiolla ratkaistujen tapausten määrä.
Yhteenvedon alla olevassa kaaviossa on yhteenveto automaation suorittamien toimintojen määrästä toiminnon tyypin mukaan.
Etsi osan alareunasta aktiivisten automaatiosääntöjen lukumäärä linkillä Automaatio-sivulle .
Valitse automaatiosääntöjen määrittäminen -linkki automaatiosivun ylitykseen, jossa voit määrittää lisää automaatioita.
Näytä tietotietueiden, tiedonkerääjien ja uhkatietojen tila
Yleiskatsaus-koontinäytön Tiedot-osiossa voit seurata tietoja tietueista, tiedonkerääjistä ja uhkien hallinnasta.
Näytä seuraavat tiedot:
Niiden tietueiden määrä, jotka Microsoft Sentinel kerätty viimeisen 24 tunnin aikana edelliseen 24 tuntiin verrattuna, ja poikkeamat, jotka on havaittu kyseisellä ajanjaksolla.
Yhteenveto tietoliittimen tilasta jaettuna epäterveellisillä ja aktiivisilla liittimillä. Epäterveelliset liittimet ilmaisevat , kuinka monelle liittimellä on virheitä. Aktiiviset liittimet ovat liittimiä, joissa tiedot virtautetaan Microsoft Sentinel liittimeen sisältyvällä kyselyllä mitattuna.
Uhkien tiedustelutietueet Microsoft Sentinel kompromissin ilmaisimen avulla.
Valitsemalla Hallitse liittimiä voit siirtyä Tietoliittimet-sivulle , jossa voit tarkastella ja hallita tietoyhdistimiä.
Tarkastele analytiikkatietoja
Seuraa analytiikkasääntöjen tietoja Yleiskatsaus-koontinäytön Analytiikka-osassa.
Microsoft Sentinel analytiikkasääntöjen määrä näkyy tilan mukaan, mukaan lukien käytössä, poistettu käytöstä ja automaattinen haku.
Valitsemalla MITRE-näkymän linkin voit siirtyä MITRE ATT&CK:hen, jossa voit tarkastella, miten ympäristösi on suojattu MITRE ATT&CK-taktiikoilta ja -tekniikoilta. Siirry Analytiikka-sivulle valitsemalla Hallitse analytiikkasääntöjä -linkki, jossa voit tarkastella ja hallita sääntöjä, jotka määrittävät ilmoitusten käynnistystavan.
Seuraavat vaiheet
Työkirjamallien avulla voit syventyä ympäristösi luomiin tapahtumiin. Lisätietoja on artikkelissa Tietojen visualisointi ja valvonta työkirjojen avulla Microsoft Sentinel.
Ota log Analytics -kyselylokit käyttöön, jotta kaikki kyselyt suoritetaan työtilastasi. Lisätietoja on kohdassa Valvonta Microsoft Sentinel kyselyt ja toiminnot.
Lue lisätietoja kyselyistä, joita käytetään Yleiskatsaus-koontinäytön pienoissovellusten takana. Lisätietoja on artikkelissa Tutustu tarkemmin Microsoft Sentinel uuteen Yleiskatsaus-koontinäyttöön.