Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Når du har koblet datakildene til Microsoft Sentinel, kan du bruke Oversikt-siden til å vise, overvåke og analysere aktiviteter på tvers av miljøet. Denne artikkelen beskriver kontrollprogrammer og grafer som er tilgjengelige på oversiktsinstrumentbordet for Microsoft Sentinel.
Viktig
Etter 31. mars 2027 vil Microsoft Sentinel ikke lenger støttes i Azure Portal og vil bare være tilgjengelig i Microsoft Defender-portalen. Alle kunder som bruker Microsoft Sentinel i Azure Portal, blir omdirigert til Defender-portalen og vil bare bruke Microsoft Sentinel i Defender-portalen.
Hvis du fortsatt bruker Microsoft Sentinel i Azure Portal, anbefaler vi at du begynner å planlegge overgangen til Defender-portalen for å sikre en jevn overgang og dra full nytte av opplevelsen av enhetlige sikkerhetsoperasjoner som tilbys av Microsoft Defender.
Forutsetninger
- Kontroller at du har lesertilgang til Microsoft Sentinel ressurser. Hvis du vil ha mer informasjon, kan du se Roller og tillatelser i Microsoft Sentinel.
Få tilgang til Oversikt-siden
Hvis arbeidsområdet er innebygd i Microsoft Defender-portalen, velger du Generell > oversikt. Ellers velger du Oversikt direkte. Eksempel:
Data for hver del av instrumentbordet er forhåndsberegnet, og siste oppdateringstidspunkt vises øverst i hver inndeling. Velg Oppdater øverst på siden for å oppdatere hele siden.
Vis hendelsesdata
For å redusere støy og minimere antall varsler du må gjennomgå og undersøke, bruker Microsoft Sentinel en fusjonsteknikk til å koordinere varsler i hendelser. Hendelser er handlingsgrupper med relaterte varsler som du kan undersøke og løse.
Bildet nedenfor viser et eksempel på Hendelser-delen på instrumentbordet oversikt :
Hendelser-delen viser følgende data:
- Antall nye, aktive og lukkede hendelser i løpet av de siste 24 timene.
- Totalt antall hendelser av hver alvorlighetsgrad.
- Antall lukkede hendelser av hver type avsluttende klassifisering.
- Hendelsesstatuser etter opprettelsestid, i fire timers intervaller.
- Det gjennomsnittlige tidspunktet for å bekrefte en hendelse og det gjennomsnittlige tidspunktet for å lukke en hendelse, med en kobling til SOC effektivitetsarbeidsboken.
Velg Administrer hendelser for å gå til siden Microsoft Sentinel hendelser for mer informasjon.
Vis automatiseringsdata
Når du har distribuert automatisering med Microsoft Sentinel, kan du overvåke automatiseringen av arbeidsområdet i delen Automatisering i instrumentbordet for oversikt.
Start med et sammendrag av automatiseringsreglenes aktivitet: Hendelser lukket av automatisering, tidspunktet automatiseringen lagret og relaterte strategiplantilstand.
Microsoft Sentinel beregner tiden som lagres ved automatisering, ved å finne den gjennomsnittlige tiden en enkelt automatisering lagret, multiplisert med antall hendelser løst ved automatisering. Formelen er som følger:
(avgWithout - avgWith) * resolvedByAutomationHvor:
- avgWithout er den gjennomsnittlige tiden det tar før en hendelse løses uten automatisering.
- avgWith er den gjennomsnittlige tiden det tar før en hendelse løses ved automatisering.
- resolvedByAutomation er antall hendelser som løses ved automatisering.
Under sammendraget oppsummerer en graf antall handlinger som utføres av automatisering, etter handlingstype.
Finn antallet aktive automatiseringsregler nederst i inndelingen med en kobling til automatiseringssiden .
Velg koblingen konfigurer automatiseringsregler for å hoppe over automatiseringssiden , der du kan konfigurere mer automatisering.
Vis status for dataposter, datainnsamlere og trusselintelligens
I Data-delen av oversiktsinstrumentbordet kan du spore informasjon om dataposter, datainnsamlinger og trusselintelligens.
Vis følgende detaljer:
Antall poster som Microsoft Sentinel samlet inn i løpet av de siste 24 timene, sammenlignet med de foregående 24 timene, og avvik som ble oppdaget i denne tidsperioden.
Et sammendrag av datakoblingsstatusen, delt på usunne og aktive koblinger. Usunne koblinger angir hvor mange koblinger som har feil. Aktive koblinger er koblinger med datastrømming til Microsoft Sentinel, målt ved en spørring som er inkludert i koblingen.
Trusseletterretningsposter i Microsoft Sentinel, etter indikator på kompromiss.
Velg Administrer koblinger for å hoppe til datakoblingssiden , der du kan vise og administrere datakoblingene.
Vis analysedata
Spor data for analysereglene i Analyse-delen av oversiktsinstrumentbordet .
Antall analyseregler i Microsoft Sentinel vises etter status, inkludert aktivert, deaktivert og autodisabled.
Velg MITRE-visningskoblingen for å hoppe til MITRE ATT&CK, der du kan se hvordan miljøet er beskyttet mot MITRE ATT&CK-taktikk og -teknikker. Velg koblingen behandle analyseregler for å hoppe til Analyse-siden , der du kan vise og administrere reglene som konfigurerer hvordan varsler utløses.
Neste trinn
Bruk arbeidsbokmaler til å fordype deg i hendelser som genereres i hele miljøet. Hvis du vil ha mer informasjon, kan du se Visualisere og overvåke dataene ved hjelp av arbeidsbøker i Microsoft Sentinel.
Slå på Logganalyse-spørringslogger for å få alle spørringer til å kjøres fra arbeidsområdet. Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel spørringer og aktiviteter.
Lær om spørringene som brukes bak kontrollprogrammene for oversiktsinstrumentbordet . Hvis du vil ha mer informasjon, kan du se Dypdykk i Microsoft Sentinel nye oversiktsinstrumentbordet.