Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
После подключения источников данных к Microsoft Sentinel используйте страницу обзора для просмотра, мониторинга и анализа действий в вашей среде. В этой статье описываются виджеты и графики, доступные на панели Обзор в Microsoft Sentinel.
Внимание
Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.
Начиная с июля 2026 года все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с июля 2025 года многие новые клиенты автоматически подключены и перенаправляются на портал Defender.
Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье " Время перемещения: выход из эксплуатации портала Azure Microsoft Sentinel" для повышения безопасности.
Необходимые компоненты
- Убедитесь, что у вас есть доступ читателя к ресурсам Microsoft Sentinel. Дополнительные сведения см. в статье "Роли и разрешения" в Microsoft Sentinel.
Доступ к странице обзора
Если рабочая область подключена к порталу Microsoft Defender, выберите "Общие > сведения". В противном случае нажмите кнопку "Обзор " напрямую. Например:
Данные для каждого раздела панели мониторинга предварительно вычисляются, а время последнего обновления отображается в верхней части каждого раздела. Выберите "Обновить" в верхней части страницы, чтобы обновить всю страницу.
Просмотр данных инцидентов
Чтобы снизить шум и свести к минимуму количество оповещений, которые необходимо проверить и исследовать, Microsoft Sentinel использует метод fusion для сопоставления оповещений с инцидентами. Инциденты — это практические группы связанных оповещений, которые необходимо исследовать и устранять.
На следующем рисунке показан пример раздела "Инциденты" на панели мониторинга "Обзор ".
В разделе "Инциденты" перечислены следующие данные:
- Число новых, активных и закрытых инцидентов за последние 24 часа.
- Общее число инцидентов каждой серьезности.
- Число закрытых инцидентов каждого типа классификации закрытия.
- Состояние инцидента по времени создания за четыре часа.
- Среднее время для подтверждения инцидента и среднего времени закрытия инцидента с ссылкой на книгу по эффективности SOC.
Щелкните "Управление инцидентами" , чтобы перейти на страницу инцидентов Microsoft Sentinel для получения дополнительных сведений.
Просмотр данных автоматизации
После развертывания автоматизации с помощью Microsoft Sentinel отслеживайте автоматизацию рабочей области в разделе "Автоматизация " панели мониторинга "Обзор ".
Начните с сводки действий правил автоматизации: инциденты закрыты автоматизацией, время сохранения автоматизации и связанных сборников схем.
Microsoft Sentinel вычисляет время, сохраненное автоматизацией, путем поиска среднего времени, сохраненного одной автоматизацией, умноженного на число инцидентов, разрешенных автоматизацией. Формулы выглядит следующим образом:
(avgWithout - avgWith) * resolvedByAutomationГде:
- avgWithout — это среднее время, необходимое для устранения инцидента без автоматизации.
- avgWith — это среднее время, необходимое для разрешения инцидента автоматизацией.
- resolvedByAutomation — это количество инцидентов, которые разрешаются автоматизацией.
Под сводкой граф суммирует количество действий, выполняемых автоматизацией, по типу действия.
В нижней части раздела найдите количество активных правил автоматизации со ссылкой на страницу автоматизации .
Выберите ссылку "Правила автоматизации" на страницу перехода на страницу автоматизации , где можно настроить больше автоматизации.
Просмотр состояния записей данных, сборщиков данных и аналитики угроз
В разделе "Данные " панели мониторинга "Обзор " отслеживайте сведения о записях данных, сборщиках данных и аналитике угроз.
Просмотрите следующие сведения:
Количество записей, собранных Microsoft Sentinel за последние 24 часа, по сравнению с предыдущими 24 часами и аномалиями, обнаруженными в этом периоде времени.
Сводка состояния соединителя данных, разделенная на неработоспособные и активные соединители. Неработоспособные соединители указывают, сколько соединителей имеют ошибки. Активные коннекторы — это коннекторы с данными, передаваемыми по потоку в Microsoft Sentinel, как измерено запросом, включенным в коннектор.
Записи аналитики угроз в Microsoft Sentinel по индикатору компрометации.
Выберите "Управление соединителями" , чтобы перейти на страницу соединителей данных , где можно просматривать соединители данных и управлять ими.
Просмотр аналитических данных
Отслеживайте данные для правил аналитики в разделе «Аналитика» панели мониторинга «Обзор».
Количество правил аналитики в Microsoft Sentinel отображается по состоянию, включая включенные, отключенные и автоизменяемые.
Выберите ссылку на представление MITRE , чтобы перейти к MITRE ATT&CK, где можно просмотреть, как ваша среда защищена от тактики и методов MITRE ATT&CK. Выберите ссылку "Управление правилами аналитики" , чтобы перейти на страницу аналитики , где можно просматривать и управлять правилами, которые настраивают активацию оповещений.
Следующие шаги
Используйте шаблоны книг для более глубокого погружения в события, созданные в вашей среде. Дополнительные сведения см. в статье Визуализация и мониторинг данных с помощью рабочих книг в Microsoft Sentinel.
Включите журналы запросов Log Analytics, чтобы получить все запросы, выполняемые из рабочей области. Дополнительные сведения см. в разделе "Аудит запросов и действий Microsoft Sentinel".
Узнайте о запросах, используемых в виджетах панели мониторинга "Обзор". Дополнительные сведения см. в разделе "Подробный обзор новой панели мониторинга Microsoft Sentinel".