Visualiser les données collectées dans la page Vue d’ensemble

Après avoir connecté vos sources de données à Microsoft Sentinel, utilisez la page Vue d’ensemble pour afficher, monitorer et analyser les activités dans votre environnement. Cet article décrit les widgets et graphiques disponibles dans le tableau de bord Vue d’ensemble de Microsoft Sentinel.

Important

Microsoft Sentinel est désormais en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft du portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Prérequis

Accéder à la page Vue d’ensemble

Si votre espace de travail est intégré à la plateforme d’opérations de sécurité unifiée, sélectionnez Général > Vue d’ensemble. Sinon, sélectionnez directement Vue d’ensemble. Par exemple :

Capture d’écran du tableau de bord Vue d’ensemble de Microsoft Sentinel.

Les données de chaque section du tableau de bord sont précalculées et la dernière heure d’actualisation est indiquée en haut de chaque section. Sélectionnez Actualiser en haut de la page pour actualiser la page entière.

Afficher les données de l’incident

Pour réduire le bruit et minimiser le nombre d’alertes que vous devez passer en revue et investiguer, Microsoft Sentinel utilise une technique de fusion pour mettre en corrélation les alertes avec des incidents. Les incidents sont des groupes actionnables d’alertes associées que vous pouvez investiguer et résoudre.

L’image suivante montre un exemple de la section Incidents dans le tableau de bord Vue d’ensemble :

Capture d’écran de la section Incidents de la page de présentation de Microsoft Sentinel.

La section Incidents répertorie les données suivantes :

  • Nombre d’incidents nouveaux, actifs et fermés au cours des dernières 24 heures
  • Nombre total d’incidents pour chaque gravité
  • Nombre d’incidents fermés pour chaque type de classification de fermeture
  • État des incidents par heure de création, par intervalles de quatre heures
  • Temps moyen de réception d’un incident et temps moyen de fermeture d’un incident, avec un lien vers le classeur d’efficacité SOC

Pour obtenir plus de détails, sélectionnez Gérer les incidents afin d’accéder à la page Incidents de Microsoft Sentinel.

Afficher les données d’automatisation

Après avoir déployé l’automatisation avec Microsoft Sentinel, monitorez l’automatisation de votre espace de travail dans la section Automatisation du tableau de bord Vue d’ensemble.

Capture d’écran de la section Automatisation de la page de présentation de Microsoft Sentinel.

  • Commencez par un résumé de l’activité des règles d’automatisation : incidents fermés par l’automatisation, heure d’enregistrement de l’automatisation et intégrité des playbooks associés.

    Microsoft Sentinel calcule le temps gagné grâce à l’automatisation en déterminant le temps moyen qu’une seule automatisation a permis de gagner et en le multipliant par le nombre d’incidents résolus par l’automatisation. Voici la formule :

    (avgWithout - avgWith) * resolvedByAutomation

    Où :

    • avgWithout est le temps moyen nécessaire à la résolution d’un incident sans automatisation.
    • avgWith est le temps moyen nécessaire à la résolution d’un incident par automatisation.
    • resolvedByAutomation est le nombre d’incidents résolus par automatisation.
  • Sous le résumé, un graphique récapitule le nombre d’actions effectuées par l’automatisation, par type d’action.

  • En bas de la section, vous trouverez le nombre des règles d’automatisation actives avec un lien vers la page Automatisation.

Sélectionnez le lien Configurer des règles d’automatisation pour accéder à la page Automatisation dans laquelle vous pouvez configurer d’autres règles d’automatisation.

Afficher l’état des enregistrements de données, des collecteurs de données et du renseignement sur les menaces

Dans la section Données du tableau de bord Vue d’ensemble, suivez les informations sur les enregistrements de données, les collecteurs de données et la veille des menaces.

Capture d’écran de la section Données de la page de présentation de Microsoft Sentinel.

Examinez les informations suivantes :

  • Le nombre d’enregistrements collectés par Microsoft Sentinel au cours des dernières 24 heures, par rapport aux 24 heures précédentes, et les anomalies détectées au cours de cette période.

  • Un résumé de l’état des connecteurs de données, répartis en connecteurs non sains et connecteurs actifs. Les connecteurs non sains indiquent le nombre de connecteurs qui présentent des erreurs. Les connecteurs actifs sont des connecteurs avec le flux de données dans Microsoft Sentinel, tel que mesuré par une requête incluse dans le connecteur.

  • Les enregistrements de veille des menaces dans Microsoft Sentinel, par indicateur de compromission.

Sélectionnez Gérer les connecteurs pour accéder à la page Connecteurs de données dans laquelle vous pouvez afficher et gérer vos connecteurs de données.

Afficher les données des analyses

Suivez les données de vos règles d’analytique dans la section Analytique du tableau de bord Vue d’ensemble.

Capture d’écran de la section Analytique de la page de présentation de Microsoft Sentinel.

Les règles d’analytique dans Microsoft Sentinel sont affichées par état (activé, désactivé, désactivé automatiquement, etc.).

Sélectionnez le lien Vue MITRE pour accéder à MITRE ATT&CK où vous pouvez voir comment votre environnement est protégé contre les tactiques et techniques MITRE ATT&CK. Sélectionnez le lien Gérer les règles d’analytique pour passer à la page Analytique dans laquelle vous pouvez afficher et gérer les règles qui configurent le déclenchement des alertes.

Étapes suivantes