Visualizzare i dati raccolti nella pagina di Panoramica

Dopo aver connesso le origini dati a Microsoft Sentinel, usare la pagina Panoramica per visualizzare, monitorare e analizzare le attività nell'ambiente. Questo articolo descrive i widget e i grafici disponibili nella dashboard di Panoramica di Microsoft Sentinel.

Importante

Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender nella della piattaforma operativa di sicurezza unificata Microsoft. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Prerequisiti

Accedere alla pagina di Panoramica

Se viene eseguito l'onboarding dell’area di lavoro nella piattaforma operativa di sicurezza unificata, selezionare Generale > Panoramica. In caso contrario, selezionare direttamente Panoramica. Ad esempio:

Screenshot della dashboard della Panoramica di Microsoft Sentinel.

I dati per ogni sezione della dashboard vengono precalcolati e l'ora dell'ultimo aggiornamento viene visualizzata nella parte superiore di ogni sezione. Selezionare Aggiorna nella parte superiore della pagina per aggiornare l'intera pagina.

Visualizzare i dati degli eventi imprevisti

Per ridurre i risultati non significativi e minimizzare il numero di avvisi da esaminare e di cui ricercare le cause, Microsoft Sentinel usa una tecnica di fusione per correlare gli avvisi in eventi imprevisti. Gli eventi imprevisti sono gruppi interattivi di avvisi correlati per l'analisi e la risoluzione.

L'immagine seguente mostra un esempio della sezione Eventi imprevisti nella dashboard di Panoramica:

Screenshot della sezione Eventi imprevisti nella pagina di Panoramica di Microsoft Sentinel.

La sezione Eventi imprevisti elenca i dati seguenti:

  • Numero di eventi imprevisti nuovi, attivi e chiusi nelle ultime 24 ore.
  • Numero totale di eventi imprevisti di ogni gravità.
  • Numero di eventi imprevisti chiusi di ogni tipo di classificazione di chiusura.
  • Stato dell'evento imprevisto in base all'ora di creazione, in intervalli di quattro ore.
  • Tempo medio per riconoscere un evento imprevisto e il tempo medio per chiudere un evento imprevisto, con un collegamento alla cartella di lavoro di efficienza SOC.

Selezionare Gestire gli eventi imprevisti per passare alla pagina Eventi imprevisti di Microsoft Sentinel per ulteriori dettagli.

Visualizzare i dati di automazione

Dopo aver distribuito l'automazione con Microsoft Sentinel, monitorare l'automazione dell'area di lavoro nella sezione Automazione della dashboard di Panoramica.

Screenshot della sezione Automazione nella pagina di Panoramica di Microsoft Sentinel.

  • Iniziare con un riepilogo dell'attività delle regole di automazione: eventi imprevisti chiusi dall'automazione, ora in cui l'automazione è stata salvata e integrità dei playbook correlati.

    Microsoft Sentinel calcola il tempo risparmiato dall'automazione individuando il tempo medio di salvataggio di una singola automazione, moltiplicato per il numero di eventi imprevisti risolti dall'automazione. La formula è la seguente:

    (avgWithout - avgWith) * resolvedByAutomation

    Dove:

    • avgWithout è il tempo medio necessario per la risoluzione di un evento imprevisto senza automazione.
    • avgWith è il tempo medio necessario per la risoluzione di un evento imprevisto dall’automazione.
    • resolvedByAutomation è il numero di eventi imprevisti risolti dall'automazione.
  • Sotto il riepilogo, un grafico riepiloga i numeri di azioni eseguite dall'automazione, in base al tipo di azione.

  • Nella parte inferiore della sezione c’è un conteggio delle regole di automazione attive con un collegamento alla pagina Automazione.

Selezionare il collegamento configurare le regole di automazione al passaggio alla pagina Automazione, in cui è possibile configurare altre automazioni.

Visualizzare lo stato dei record di dati, gli agenti di raccolta dati e l'intelligence sulle minacce

Nella sezione Data della dashboard di Panoramica tenere traccia delle informazioni sui record di dati, gli agenti di raccolta dati e l'intelligence sulle minacce.

Screenshot della sezione Dati nella pagina di Panoramica di Microsoft Sentinel.

Visualizzare i dettagli seguenti:

  • Numero di record raccolti da Microsoft Sentinel nelle ultime 24 ore, rispetto alle 24 ore precedenti e anomalie rilevate in tale periodo di tempo.

  • Riepilogo dello stato dei connettori dati, diviso per connettori non integri e attivi. Connettori non integri indica il numero di connettori con errori. Connettori attivi sono connettori con flusso di dati in Microsoft Sentinel, come misurato da una query inclusa nel connettore.

  • Record di Intelligence sulle minacce in Microsoft Sentinel, per indicatore di compromissione.

Selezionare Gestisci connettori per passare alla pagina Connettori dati, in cui è possibile visualizzare e gestire i connettori dati.

Visualizzare i dati di analisi

Tenere traccia dei dati per le regole di analisi nella sezione Analisi della dashboard di Panoramica.

Screenshot della sezione Analisi nella pagina di Panoramica di Microsoft Sentinel.

Il numero di regole di analisi in Microsoft Sentinel viene visualizzato in base allo stato, tra cui abilitato, disabilitato e disponibile automaticamente.

Selezionare il collegamento visualizzazione MITRE per passare alla MITRE ATT&CK, in cui è possibile visualizzare la protezione dell'ambiente dalle tattiche e dalle tecniche MITRE ATT&CK. Selezionare il collegamento gestire le regole di analisi per passare alla pagina Analisi, in cui è possibile visualizzare e gestire le regole che consentono di configurare la modalità di attivazione degli avvisi.

Passaggi successivi