Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
После подключения источников данных к Microsoft Sentinel используйте страницу Обзор для просмотра, мониторинга и анализа действий в вашей среде. В этой статье описаны мини-приложения и графики, доступные на панели мониторинга обзора Microsoft Sentinel.
Важно!
После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.
Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
Предварительные условия
- Убедитесь, что у вас есть доступ для чтения к Microsoft Sentinel ресурсам. Дополнительные сведения см. в разделе Роли и разрешения в Microsoft Sentinel.
Доступ к странице "Обзор"
Если ваша рабочая область подключена к порталу Microsoft Defender, выберите Общие > обзор. В противном случае выберите Обзор напрямую. Например, вы можете:
Данные для каждого раздела панели мониторинга предварительно вычисляются, а время последнего обновления отображается в верхней части каждого раздела. Выберите Обновить в верхней части страницы, чтобы обновить всю страницу.
Просмотр данных об инцидентах
Чтобы снизить уровень шума и свести к минимуму количество оповещений, которые необходимо проверить и исследовать, Microsoft Sentinel использует метод слияния для корреляции оповещений с инцидентами. Инциденты — это группы связанных оповещений, которые можно исследовать и устранять.
На следующем рисунке показан пример раздела Инциденты на панели мониторинга Обзор :
В разделе Инциденты перечислены следующие данные:
- Количество новых, активных и закрытых инцидентов за последние 24 часа.
- Общее число инцидентов для каждой серьезности.
- Количество закрытых инцидентов для каждого типа классификации закрытия.
- Состояние инцидента по времени создания с интервалом в четыре часа.
- Среднее время для подтверждения инцидента и среднее время закрытия инцидента со ссылкой на книгу по эффективности SOC.
Выберите Управление инцидентами, чтобы перейти на страницу Microsoft Sentinel Инциденты для получения дополнительных сведений.
Просмотр данных автоматизации
После развертывания автоматизации с помощью Microsoft Sentinel отслеживайте автоматизацию рабочей области в разделе Автоматизация панели мониторинга Обзор.
Начните с сводки действий правил автоматизации: инциденты, закрытые автоматизацией, время сохранения автоматизации и работоспособность связанных сборников схем.
Microsoft Sentinel вычисляет время, сэкономленное автоматизацией, путем поиска среднего времени, сохраненного одной автоматизацией, умноженного на количество инцидентов, разрешенных автоматизацией. Формула выглядит следующим образом:
(avgWithout - avgWith) * resolvedByAutomationГде:
- avgWithout — это среднее время, затрачиваемое на разрешение инцидента без автоматизации.
- avgWith — это среднее время, необходимое для разрешения инцидента с помощью автоматизации.
- resolvedByAutomation — это количество инцидентов, разрешенных автоматизацией.
Под сводкой диаграмма суммирует количество действий, выполняемых автоматизацией, по типу действия.
В нижней части раздела найдите количество активных правил автоматизации со ссылкой на страницу службы автоматизации .
Выберите ссылку Настройка правил автоматизации на странице автоматизации , где можно настроить дополнительные возможности автоматизации.
Просмотр состояния записей данных, сборщиков данных и аналитики угроз
В разделе Данные панели мониторинга Обзор отслеживайте сведения о записях данных, сборщиках данных и аналитике угроз.
Просмотрите следующие сведения:
Количество записей, которые Microsoft Sentinel собирать за последние 24 часа, по сравнению с предыдущими 24 часами, и аномалий, обнаруженных за этот период времени.
Сводка состояния соединителя данных, разделенная на неработоспособные и активные соединители. Неработоспособные соединители указывают, сколько соединителей имеют ошибки. Активные соединители — это соединители с потоковой передачей данных в Microsoft Sentinel, измеряемые запросом, включенным в соединитель.
Записи аналитики угроз в Microsoft Sentinel по признаку компрометации.
Выберите Управление соединителями , чтобы перейти на страницу Соединители данных , где можно просматривать соединители данных и управлять ими.
Просмотр аналитических данных
Отслеживайте данные для правил аналитики в разделе Аналитика панели мониторинга Обзор .
Количество правил аналитики в Microsoft Sentinel отображается по состоянию, включая включенные, отключенные и автоматические.
Щелкните ссылку представление MITRE , чтобы перейти к mitre ATT&CK, где можно просмотреть, как ваша среда защищена от MITRE ATT&тактики и методики CK. Щелкните ссылку управление правилами аналитики , чтобы перейти на страницу Аналитика , где можно просматривать правила, которые настраивают способ активации оповещений и управлять ими.
Дальнейшие действия
Используйте шаблоны книг, чтобы более подробно изучить события, созданные в вашей среде. Дополнительные сведения см. в статье Визуализация и мониторинг данных с помощью книг в Microsoft Sentinel.
Включите журналы запросов Log Analytics, чтобы все запросы выполнялись из рабочей области. Дополнительные сведения см. в разделе Запросы и действия аудита Microsoft Sentinel.
Узнайте о запросах, используемых за мини-приложениями панели мониторинга Обзор . Дополнительные сведения см. в статье Подробные сведения о новой панели мониторинга обзоров Microsoft Sentinel.