Összegyűjtött adatok vizualizációja az Áttekintés lapon
Miután csatlakoztatta az adatforrásokat a Microsoft Sentinelhez, az Áttekintés lapon megtekintheti, figyelheti és elemezheti a környezet tevékenységeit. Ez a cikk a Microsoft Sentinel Áttekintés irányítópultján elérhető widgeteket és grafikonokat ismerteti.
Fontos
A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform részeként érhető el a Microsoft Defender portálon. A Microsoft Sentinel a Defender portálon mostantól éles környezetben is támogatott. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Előfeltételek
- Győződjön meg arról, hogy rendelkezik olvasói hozzáféréssel a Microsoft Sentinel-erőforrásokhoz. További információ: Szerepkörök és engedélyek a Microsoft Sentinelben.
Az Áttekintés lap elérése
Ha a munkaterület az egyesített biztonsági üzemeltetési platformra van előkészítve, válassza az Általános > áttekintés lehetőséget. Ellenkező esetben válassza közvetlenül az Áttekintés lehetőséget. Példa:
Az irányítópult egyes szakaszaihoz tartozó adatok előre kiszámítva, az utolsó frissítési idő pedig az egyes szakaszok tetején jelenik meg. A teljes oldal frissítéséhez válassza a Lap tetején található Frissítés lehetőséget.
Incidensadatok megtekintése
A zaj csökkentése és a szükséges riasztások számának minimalizálása érdekében a Microsoft Sentinel egy fúziós technikával korrelálja a riasztásokat incidensekkel. Az incidensek a kapcsolódó riasztások végrehajtható csoportjai, amelyeket kivizsgálhat és megoldhat.
Az alábbi képen az Áttekintés irányítópult Incidensek szakasza látható:
Az Incidensek szakasz a következő adatokat sorolja fel:
- Az új, aktív és lezárt incidensek száma az elmúlt 24 órában.
- Az egyes súlyosságú incidensek teljes száma.
- A bezárt incidensek száma az egyes záróbesorolási típusokhoz.
- Incidensállapotok létrehozási idő szerint, négy órás időközönként.
- Az incidensek nyugtázásának átlagos ideje és az incidens bezárásának átlagos ideje az SOC-hatékonysági munkafüzetre mutató hivatkozással.
Az incidensek kezelése lehetőséget választva lépjen a Microsoft Sentinel incidensek lapjára további részletekért.
Automatizálási adatok megtekintése
Miután üzembe helyezte az automatizálást a Microsoft Sentinellel, figyelje a munkaterület automatizálását az Áttekintés irányítópult Automatizálás szakaszában.
Kezdje az automatizálási szabályok tevékenységének összegzésével: Az automatizálás által bezárt incidensek, az automatizálás mentésének időpontja és a kapcsolódó forgatókönyvek állapota.
A Microsoft Sentinel az automatizálás által megtakarított időt úgy számítja ki, hogy megkeresi az egyes automatizálások által mentett átlagos időt, megszorozva az automatizálással megoldott incidensek számával. A képlet a következő:
(avgWithout - avgWith) * resolvedByAutomationAhol:
- Az avgWithout az az átlagos idő, amely alatt az incidensek automatizálás nélkül oldhatók meg.
- Az avgWith az az átlagos idő, amely alatt egy incidenst automatizálással kell megoldani.
- A resolvedByAutomation az automatizálással megoldott incidensek száma.
Az összegzés alatt egy grafikon összefoglalja az automatizálás által végrehajtott műveletek számát művelettípus szerint.
A szakasz alján keresse meg az aktív automatizálási szabályok számát az Automation lapra mutató hivatkozással.
Válassza az Automation lapra mutató ugrásra mutató automatizálási szabályok hivatkozását, ahol további automatizálást konfigurálhat.
Adatrekordok, adatgyűjtők és fenyegetésfelderítés állapotának megtekintése
Az Áttekintés irányítópult Adatok szakaszában kövesse nyomon az adatrekordokkal, az adatgyűjtőkkel és a fenyegetésfelderítéssel kapcsolatos információkat.
Tekintse meg a következő részleteket:
A Microsoft Sentinel által az elmúlt 24 órában gyűjtött rekordok száma az előző 24 órához képest, valamint az adott időszakban észlelt rendellenességek.
Az adatösszekötő állapotának összegzése sérült és aktív összekötőkkel osztva. A nem kifogástalan összekötők azt jelzik , hogy hány összekötőnek van hibája. Az aktív összekötők a Microsoft Sentinelbe adatstreamelő összekötők, amelyeket az összekötőben található lekérdezés mér.
Fenyegetésfelderítési rekordok a Microsoft Sentinelben a biztonsági rés jelzése alapján.
Válassza az Összekötők kezelése lehetőséget az Adatösszekötők lapra ugráshoz, ahol megtekintheti és kezelheti az adatösszekötőket.
Elemzési adatok megtekintése
Az elemzési szabályok adatainak nyomon követése az Áttekintés irányítópult Elemzés szakaszában.
A Microsoft Sentinel elemzési szabályainak száma állapot szerint jelenik meg, beleértve az engedélyezett, a letiltott és az automatikusan dedukált szabályokat is.
A MITRE ATT&CK-ra ugráshoz válassza a MITRE nézethivatkozást, ahol megtekintheti, hogyan védi környezetét a MITRE ATT&CK-taktikák és technikák ellen. Az elemzési szabályok kezelése hivatkozásra kattintva lépjen az Elemzés lapra, ahol megtekintheti és kezelheti a riasztások aktiválását konfiguráló szabályokat.
Következő lépések
Munkafüzetsablonok használatával részletesebben is megismerkedhet a környezetében létrehozott eseményekkel. További információ: Adatok vizualizációja és monitorozása munkafüzetek használatával a Microsoft Sentinelben.
Kapcsolja be a Log Analytics lekérdezési naplóit, hogy az összes lekérdezés a munkaterületről fusson. További információ: Microsoft Sentinel-lekérdezések és -tevékenységek naplózása.
Ismerje meg az Áttekintés irányítópult vezérlői mögött használt lekérdezéseket. További információkért tekintse meg a Microsoft Sentinel új Áttekintés irányítópultjának részletes ismertetését.